核心用法
security-analysis 是 OpenClaw 官方安全审计工具,专用于代码库安全审查与漏洞分析。该技能采用严格的触发机制,仅在用户明确请求安全分析、代码安全审查、漏洞评估、SAST 扫描或识别源代码安全问题时才会激活。
主要功能模块:
1. SKILL.md 安全审查:重点检测指令注入漏洞、数据外泄风险、权限提升、隐藏指令、不安全工具使用及社会工程攻击。
2. 通用漏洞分类检测:
- 硬编码密钥(API_KEY、SECRET、TOKEN 等)
- 访问控制缺陷(IDOR、路径遍历、缺少函数级授权)
- 注入漏洞(SQLi、XSS、命令注入、SSRF)
- LLM/提示安全(提示注入、不安全执行、输出注入)
- 隐私违规(敏感数据流向日志或第三方 API)
3. 结构化报告输出:采用 Critical/High/Medium/Low 四级严重度评估,每处漏洞标注类型、位置、代码片段、影响描述及修复建议。
显著优点
- 官方权威性:OpenClaw 原生内置技能,非第三方插件
- 只读安全模式:默认使用
ls -R、grep、read-file等只读工具,不修改用户代码 - 高保真规则:严格执行 5 项验证(是否在可执行内容、能否定位行号、是否有直接证据、是否可修复、是否有实际影响),避免误报
- LLM 专用覆盖:针对大模型应用场景设计,检测提示注入、LLM 输出流向执行层等新型风险
潜在局限
- 依赖显式触发:不会主动扫描,需用户明确指令
- 静态分析为主:无法检测运行时动态漏洞
- 范围限定:主要面向源代码与 SKILL.md 文件,不涉及二进制或网络层渗透测试
- 无自动修复:仅提供报告与建议,不执行代码修复
适合人群
开发者、安全工程师、代码审查人员、DevSecOps 团队,以及需要审计 OpenClaw 技能文件安全性的平台运营方。
常规风险
- 误报控制:高保真规则虽减少误报,但可能遗漏边缘风险
- 技能被滥用:恶意 SKILL.md 可能尝试覆盖系统安全指令,需结合本工具定期自查
- 报告存储位置:分析产物默认存放于
.shield_security/目录,需注意该目录权限管理