skillfence

SkillFence 是专为 OpenClaw 生态设计的运行时安全监控技能，核心定位是「安全摄像头」而非「扫描器」——它不分析代码外观，而是持续监视已安装技能的真实行为。用户通过 node monitor.js 执行多种命令：：--scan 进行全系统深度审计，，--watch 快速检查活跃威胁，，--scan-skill <name>> 针对单个技能预检，，--check-network/processes/credentials 分别监控网络连接、进程活动和敏感文件访问时间戳。其威胁检测覆盖已知 C2 服务器、反向 shell、加密货币挖矿、curl|sh 管道攻击、Base64 解码执行、数据外泄模式等，按 🔴🟠🟡🟢 四级 severity 呈现结果。

显著优点包括：完全本地化运行，零外部网络请求，不读取敏感文件内容仅检测元数据，零 npm 依赖降低供应链风险，代码完全开源透明便于审计。同时提供完善的审计日志和 slash 命令快捷操作，免费版已包含全部核心功能。

局限性在于：与受监控技能同权限运行，理论上可能被高级攻击者检测规避；无法捕获原始套接字连接；新型攻击模式依赖本地威胁情报库更新；本质是检测威慑而非主动防御。此外，静态代码扫描能力有限，主要价值体现在运行时行为监控。

目标用户为 OpenClaw 重度使用者、企业安全团队、以及从公共仓库安装第三方技能的个人开发者。特别适合需要合规审计、担心供应链攻击、或处理敏感数据的场景。

常规风险方面：执行 ps//lsof//ss 等系统命令可能在高负载环境产生短暂性能开销；大量技能安装时全扫描耗时增加；审计日志持续写入磁盘需关注存储空间；Pro 版功能涉及外部 web 仪表盘，但核心 skill 仍保持离线。