核心功能
ClawSec套件(clawsec-suite)是一个面向AI技能生态的安全管理框架,提供威胁情报监控、加密验证和审批驱动的恶意技能响应机制。其核心能力包括:
1. 嵌入式威胁情报 feed
- 监控 ClawSec 安全公告 feed(CVE、GHSA、社区公告)
- 自动比对本地已安装技能与新增安全公告
- 基于可利用性评分(exploitability_score)优先排序风险
2. 加密签名验证体系
- 强制验证 feed 签名(fail-closed 设计)
- 支持 checksums.json 签名验证与文件哈希校验
- 固定公钥指纹(SHA-256 SPKI DER):
711424e4535f84093fefb024cd1ca4ec87439e53907b305b79a631d5befba9c8
3. 审批门控安装流程
- 双重确认机制:首次请求 + 安全公告审查后二次确认
- 若检测到匹配的安全公告,脚本退出 code 42 并要求
--confirm-advisory参数 - 默认非破坏性操作,所有删除/禁用操作需显式用户批准
4. OpenClaw 集成
- 自动安装 advisory guardian hook 到
~/.openclaw/hooks - 支持定时 cron 任务(默认 6 小时周期)
- 在
agent:bootstrap和/new命令时触发扫描
显著优势
- 主动防御:从被动响应转向基于 threat intelligence 的主动监控
- 密码学强验证:Ed25519 签名 + SHA-256 哈希,抵抗供应链攻击
- 最小权限设计:hook 和 cron 仅读取状态,修改操作需用户显式批准
- 模块化扩展:动态技能目录发现,不硬编码可选组件
- 可利用性感知:区分「高严重性低可利用」与「中等严重性高可利用」风险
潜在局限
- 依赖 Node.js 运行时:需要
node,npx,openclaw等二进制工具链 - 网络依赖:远程 feed 和目录获取失败时回退本地种子(功能降级)
- 配置复杂度:多层级配置解析(CLI arg → env → 默认路径)增加认知负担
- 签名密钥管理:首次使用需离带验证公钥指纹,用户可能跳过此步骤
- suppress 功能风险:
enabledFor配置不当可能导致安全公告被静默忽略
适合人群
- AI 平台运维者:管理多技能生态的企业安全团队
- OpenClaw 用户:需要增强原生安全能力的开发者
- 合规敏感组织:需要审计追踪(
suppressedAt,reason字段)的安全意识团队 - 供应链安全关注者:对技能来源完整性有密码学验证需求的用户
常规风险
| 风险类别 | 说明 | 缓解措施 |
|---------|------|---------|
| 供应链攻击 | 恶意 skill 伪装流行工具 | 强制签名验证 + 安全公告预检 |
| 配置漂移 | `CLAWSEC_ALLOW_UNSIGNED_FEED=1` 临时绕过被永久化 | 代码审查 + 告警规则 |
| 误报抑制 | 安全团队错误 suppress 关键 CVE | 强制 `reason` 字段 + 定期审计 |
| 密钥泄露 | 固定公钥被替换 | 离带指纹验证 + 监控文件完整性 |
| 权限扩大 | hook 脚本被篡改获得执行权限 | 600/644 文件权限 + 路径验证 |
安全等级说明
- 加密验证:Ed25519 签名 + SHA-256 哈希,符合现代密码学标准
- fail-closed 设计:签名失败默认拒绝,需显式环境变量绕过
- 非破坏性默认:无自动删除,所有操作需用户二次确认
- 审计追踪:完整的 suppression 记录与状态持久化