核心功能
ClawSec Suite 是一款专为 OpenClaw/AI Agent 生态设计的安全管理工具,集成了威胁情报监控、加密签名验证和审批驱动的恶意代码响应机制。
主要能力
1. 顾问情报监控:实时追踪 ClawSec 安全公告流(CVE、GHSA 及社区通告),交叉比对本地已安装技能,识别受影响组件。
2. 双层验证机制:
- 发布签名验证(Ed25519 公钥指纹锁定)
- 校验和清单验证,防止供应链篡改
3. 审批驱动响应:检测到恶意或需移除的技能时,系统仅发出警告和移除建议,必须获得用户二次显式确认后才执行删除/禁用操作。
4. 安全技能网关:提供带防护的安装流程(guarded_skill_install.mjs),新技能安装前自动扫描威胁情报,发现匹配时强制暂停并等待用户确认。
显著优点
- Fail-closed 设计:默认拒绝未签名 feed,可配置为临时绕过但不建议长期使用
- 最小权限原则:钩子脚本以通知为主,破坏性操作需人工审批
- 完整的审计追踪:状态文件、抑制列表、审批记录均有持久化存储
- 模块化架构:核心套件与可选保护技能分离,按需扩展
潜在局限
- 依赖外部网络:远程 feed 和目录发现需要网络连接,离线场景依赖本地种子文件
- 密钥管理责任:首次使用前需带外验证公钥指纹,用户需自行承担密钥真实性验证
- Node.js 生态依赖:运行时依赖 node、npx 等工具链,环境配置复杂
- 无自动修复:系统不自动隔离或删除威胁组件,依赖用户响应速度
适合人群
- OpenClaw/AI Agent 平台的运维人员和安全团队
- 需要为 AI 技能供应链建立安全监控的企业用户
- 对供应链安全有较高要求、愿意承担密钥管理责任的组织
常规风险
1. 配置错误风险:若用户错误设置 CLAWSEC_ALLOW_UNSIGNED_FEED=1 长期使用,将丧失签名验证保护
2. 社会工程学攻击:攻击者可能伪造"用户请求安装"的上下文,诱导确认恶意安装
3. 状态文件损坏:~/.openclaw/clawsec-suite-feed-state.json 损坏可能导致重复通知或漏报
4. Cron 任务持久化:自动设置的定时任务若被篡改,可能成为持久化攻击向量
安全等级评估依据
来源可信度 T2(Prompt Security 官方维护,有公开仓库但缺乏长期安全记录),安全等级 A(设计合理、fail-closed、审批驱动,但依赖用户正确配置和外部网络)。