核心用法
openclaw-audit-watchdog 是一款专为 OpenClaw Agent 设计的自动化安全审计守护工具,通过创建定时 cron 任务,每日执行标准与深度两级安全扫描,并将结构化报告推送至指定渠道(Telegram/Slack/DM 等)。
主要功能流程
1. 双层审计:依次运行 openclaw security audit --json(标准12项检查)与 --deep(深度8项探测)
2. 智能汇总:自动分类 Critical/Warn/Info 三级发现,附单行修复建议
3. 多渠道投递:优先 DM 即时通讯,支持邮件回退(sendmail 兜底)
4. 灵活配置:支持环境变量零交互部署(MDM友好),或最小化交互式引导
显著优点
- 防御式抑制机制:双 gate 设计(CLI 标志 + 配置文件 sentinel),避免误过滤风险发现
- 幂等更新:自动检测现有任务并增量更新,防止重复 cron 作业堆积
- 多环境标识:通过
PROMPTSEC_HOST_LABEL区分 dev/prod 实例,报告清晰可追溯 - 路径安全:严格校验
$HOME展开,失败时显式报错而非静默创建错误目录 - Git 感知:可选
--ff-only自动更新,适合源码部署场景
潜在局限与风险
- 依赖外部信道:邮件投递依赖部署环境是否预置 email channel 插件或 sendmail
- 时区配置敏感:IANA 时区字符串需准确,错误配置可能导致调度偏离预期
- 抑制误用风险:虽为 opt-in 设计,但若 sentinel 配置不当可能掩盖真实风险
- Agent 隔离运行:
sessionTarget="isolated"意味着无法访问用户当前会话上下文
适合人群
- DevSecOps 工程师:需为多套 OpenClaw 环境建立标准化监控基线
- 安全运维团队:要求每日可审计、可追溯的合规报告链路
- MDM/自动化管理员:偏好环境变量驱动、零交互的批量部署方案
常规风险提醒
- 建议定期复核
suppressions列表,避免"临时"白名单长期生效 - 生产环境部署前,应在 staging 验证时区与投递链路完整性
--deep探测可能产生较长执行时间,需评估 cron 窗口与资源占用