核心用法
OpenClaw Security Hardening 是一套针对 AI 代理运行环境的安全防护脚本集合,通过五个核心工具构建纵深防御体系:
- scan-skills.sh:扫描已安装技能中的恶意模式,包括提示注入指令、数据外泄代码、可疑 URL、Base64 隐藏内容、零宽字符混淆及社会工程话术
- integrity-check.sh:建立 SHA256 基线并监控文件篡改,检测未授权修改、新增或删除
- audit-outbound.sh:审计技能中的出站数据流,识别 curl/wget、webhook 调用、原始 IP 及非白名单域名
- harden-workspace.sh:检查并修复工作空间配置,包括敏感文件权限、.gitignore 规则、网关认证配置等
- install-guard.sh:技能预安装安全闸门,支持严格模式用于 CI/CD 集成
显著优点
- 威胁模型完整:覆盖提示注入、数据外泄、供应链投毒、文件篡改、工作空间暴露五大攻击向量
- 自动化友好:所有脚本支持 JSON 输出、退出码约定、cron/heartbeat 集成,便于构建安全流水线
- 检测深度高:不仅匹配明文恶意指令,还能识别 Unicode 隐藏字符、Base64 编码、十六进制混淆等高级绕过手段
- 运营闭环:从基线建立、日常监控、事前审查到事后加固形成完整工作流
潜在局限
- 依赖签名而非行为:基于静态规则匹配,可能漏检经过深度混淆或零日攻击模式
- 白名单维护成本:出站审计需人工维护域名白名单,否则产生大量误报或漏判
- 无运行时防护:属于离线扫描工具,无法阻止恶意技能在扫描间隔期内执行
- 社区维护属性:规则库更新频率依赖开源社区,滞后于新型攻击手法
适合人群
- 自托管 OpenClaw/Claude Code 等 AI 代理的开发者与运维团队
- 对第三方技能采取"默认不信任"策略的安全敏感用户
- 需要满足合规审计要求的企业内部部署场景
- CI/CD 流水线中需要自动化安全门禁的技术团队
常规风险
- 误阻断风险:严格模式可能拒绝合法但写法激进的技能,需人工复核流程配套
- 基线漂移:--update 操作若被攻击者诱导执行,可能将恶意状态固化为可信基线
- 扫描盲区:加密混淆、外部动态加载(如运行时 fetch 远程指令)无法被静态检测捕获
- 权限提升:脚本本身需读取敏感文件,若脚本被篡改则成为高价值攻击目标