核心用法
openclaw-audit-watchdog 是一款面向 OpenClaw 代理的自动化安全审计工具,通过创建无人值守的 cron 任务实现每日定时扫描。核心工作流包括:
1. 双模式审计:执行标准审计 (openclaw security audit --json) 与深度审计 (--deep --json),覆盖 12-20+ 项安全检查
2. 智能报告生成:自动汇总关键/警告/信息级发现,附带 checkId、标题及单行修复建议
3. 多渠道投递:通过 DM(Telegram/Slack 等)推送主报告,可选邮件副本(需显式配置 PROMPTSEC_EMAIL_TO)
安装支持两种模式:捆绑于 ClawSec Suite(推荐,路径 ~/.openclaw/skills/)或独立部署。MDM 友好型设计支持纯环境变量驱动配置,零交互即可完成初始化。
显著优点
- 生产级自动化:默认每日 23:00 运行,支持自定义 CRON 表达式(如
0 */6 * * *每6小时) - 防御式抑制机制:双因子激活(CLI 标志
--enable-suppressions+ 配置文件"enabledFor": ["audit"]),避免误过滤 - 多层级配置:4 级配置解析(显式参数 → 环境变量 →
~/.openclaw/security-audit.json→.clawsec/allowlist.json) - 幂等更新:自动检测同名任务并更新,避免重复创建
- 多环境标识:通过
PROMPTSEC_HOST_LABEL区分 dev/prod 等场景,报告头清晰标注来源主机
潜在局限与风险
| 维度 | 说明 |
|------|------|
| **依赖链** | 强依赖 `openclaw`、`node`、`bash` 运行时,任一缺失导致任务失败 |
| **邮件可靠性** | 邮件投递依赖本地 sendmail 或 SMTP 中继配置,若双路径均失败仅记录备注而非告警 |
| **权限风险** | 配置文件权限若过宽(如非 `chmod 600`),敏感抑制规则可能被篡改 |
| **时区误配** | 未正确设置 `PROMPTSEC_TZ` 可能导致非预期时段执行,影响业务低峰期策略 |
| **抑制滥用** | 尽管有双因子保护,长期累积的 suppressions 可能掩盖真实风险,需定期审计 |
适合人群
- DevOps/SRE 工程师:需为生产集群建立标准化安全基线监控
- 安全运营团队:希望将 OpenClaw 发现集成至现有告警通道(Telegram/Slack)
- 合规管理员:需留存结构化审计日志以满足 SOC2/ISO27001 等审计追溯要求
常规风险提示
- 非修复型工具:报告仅建议修复方案,不会自动执行
--fix,需人工确认后处理 - 环境变量注入:MDM 部署时注意路径展开规则,避免单引号导致
$HOME字面量目录创建失败 - SMTP 凭证:若使用 SMTP 中继,建议通过专用只读 secret 注入而非明文环境变量
- 版本锁定:建议固定
version: 0.1.4或启用PROMPTSEC_GIT_PULL=1时配合完整性校验