openclaw-audit-watchdog

🔭 每日自动安全审计与报告推送

OpenClaw 安全审计守护程序,每日自动执行深度安全扫描并通过邮件/DM推送结构化报告,适用于企业级 Agent 安全合规监控。

收藏
8.3k
安装
2.4k
版本
0.0.3
CLS 安全性认证2026-07-09
点击查看完整报告 >

使用说明

核心功能

openclaw-audit-watchdog 是一款面向 OpenClaw Agent 生态的自动化安全审计工具,专注于解决企业级 AI Agent 部署后的持续安全监控需求。该技能通过创建定时任务(cron job),每日 23:00 自动执行两轮安全扫描:标准审计(openclaw security audit --json)与深度审计(openclaw security audit --deep --json),生成包含关键/警告/信息三级风险分类的结构化报告,并通过用户指定的即时通讯渠道(如 Telegram)或邮件推送。

显著优点

1. 自动化闭环:无需人工干预即可完成「扫描→解析→报告→投递」全流程,显著降低运维成本
2. 深度探测能力--deep 模式提供增强型安全检测,覆盖标准扫描可能遗漏的攻击面

3. 灵活投递策略:优先使用 email 渠道插件,支持 sendmail 本地回退,确保告警可达性

4. 幂等设计:支持任务更新而非重复创建,避免 cron 作业堆积

5. MDM 友好:全面支持环境变量配置(PROMPTSEC_DM_CHANNELPROMPTSEC_DM_TO 等),适配企业移动设备管理场景

潜在局限与风险

  • 依赖外部通道:邮件投递依赖预配置插件或本地 sendmail,若均未配置则仅能通过 DM 告警,关键信息可能延迟
  • 时区配置敏感:默认 UTC 需手动指定 PROMPTSEC_TZ,跨时区部署易误判执行窗口
  • 无自动修复:设计原则为「仅报告不修复」,需人工介入处理 CRITICAL 级发现
  • 权限边界isolated session 运行虽提升隔离性,但可能限制某些需要主机 root 权限的深度检测项

适合人群

  • 部署 OpenClaw/ClawSec Suite 的企业安全团队
  • 需要满足 SOC 2、ISO 27001 等合规要求的 AI 基础设施运维人员
  • 采用「安全左移」策略、希望将 Agent 安全纳入 CI/CD 后持续监控的 DevSecOps 工程师

常规风险提示

  • 深度审计可能产生较高系统负载,建议在非业务高峰期(默认 23:00)执行
  • JSON 输出依赖 OpenClaw CLI 版本兼容性,升级套件时需验证解析逻辑
  • 环境变量中明文存储的 PROMPTSEC_DM_TO 等标识符需注意主机级访问控制

安全解读

核心功能

openclaw-audit-watchdog 是一款面向 OpenClaw 代理的自动化安全审计监控工具,由知名 AI 安全公司 Prompt Security 开发。该 Skill 每日定时(默认 23:00)执行双重安全扫描:标准审计与深度审计,并将结果整理为结构化报告,通过即时通讯渠道(如 Telegram)或本地 SMTP 邮件发送给用户。

显著优点

权威来源:Prompt Security 是专注 AI 安全的知名企业,代码质量经 S 级认证(评分 80),无第三方依赖,仅使用 Node.js 内置模块和系统标准命令。

零信任架构:默认采用隔离会话(sessionTarget="isolated")运行,确保审计过程与主环境隔离;支持 MDM 友好型部署,全程可通过环境变量配置,无需交互式输入。

灵活交付:支持多渠道报告投递——优先使用已配置的邮件插件,其次回退至本地 sendmail,最终保底通过 DM 送达用户,确保审计结果必达。

幂等设计:智能识别已有定时任务并更新配置,避免重复创建;明确禁止自动修复(--fix 需用户显式授权),坚持报告先行、人工决策的安全原则。

潜在局限

环境依赖:需预配置 PROMPTSEC_DM_CHANNELPROMPTSEC_DM_TO 等环境变量,若未设置则降级至交互式安装,略损部署自动化体验。

邮件限制:本地 SMTP(127.0.0.1:25)虽安全但功能有限,如需外部邮件服务需额外配置邮件插件,否则依赖本地 MTA 可用性。

单一时区:默认 UTC 时区需手动覆盖,跨地域团队需额外配置 PROMPTSEC_TZ

适合人群

  • 使用 OpenClaw/ClawSec 生态的安全运维人员
  • 需要每日自动化安全基线检查的企业环境
  • 偏好"检测-报告-人工处置"流程的合规敏感场景

常规风险

已识别的低风险项包括:子进程调用 openclaw CLI(参数受控,无注入风险)及本地 SMTP 通信(无外发数据风险)。建议确保环境变量来源可信,防止报告被重定向至未授权地址。

openclaw-audit-watchdog 内容

scripts文件夹
手动下载zip · 13.0 kB
codex_review.shtext/x-shellscript
请选择文件