核心用法
guard-scanner 是专为 AI 代理(Agent)技能生态设计的安全扫描工具,提供静态分析与运行时防护双模式:
| 模式 | 用法 | 场景 |
|------|------|------|
| **静态扫描** | `node cli.js <skill-path> [--strict --verbose --html]` | 安装前审查、CI/CD 门禁、定期审计 |
| **运行时守卫** | OpenClaw 插件钩子 `before_tool_call` | 实时拦截危险工具调用 |
关键命令示例
# 扫描全部已安装技能(推荐日常) node skills/guard-scanner/src/cli.js ~/.openclaw/workspace/skills/ --verbose --self-exclude # 严格模式扫描单个技能(安装前必做) node cli.js /path/to/new-skill/ --strict --verbose # 启用运行时防护 openclaw hooks install skills/guard-scanner/hooks/guard-scanner openclaw hooks enable guard-scanner
运行时模式配置
在 openclaw.json 中设置防护强度:
monitor— 仅记录不拦截enforce(默认)— 拦截 CRITICAL 威胁strict— 拦截 HIGH + CRITICAL 威胁
---
显著优点
| 优势 | 说明 |
|------|------|
| **覆盖全面** | 135 静态模式 + 26 运行时模式,横跨 22 大威胁类别 |
| **极速性能** | 单次扫描仅 **0.016ms**,无感知开销 |
| **零依赖架构** | 无第三方库,消除供应链攻击面 |
| **零网络访问** | 纯本地运行,杜绝数据外泄 |
| **实战驱动** | 源于 2026 年真实身份劫持事件,针对性解决 LLM 特有攻击 |
| **多格式输出** | 终端 / JSON / SARIF 2.1.0 / HTML 仪表盘 |
| **确定性检测** | 无 LLM 调用,纯规则+熵值+数据流分析,结果可复现 |
威胁检测亮点
- Prompt Injection:隐形 Unicode、同形异义字符、隐藏指令
- 身份劫持:SOUL.md / IDENTITY.md 篡改检测
- 数据外泄:webhook.site、DNS 隧道、内存投毒
- 供应链:动态远程导入、未验证依赖
- MCP 安全:工具/Schema 投毒、SSRF
---
潜在缺点与局限性
| 局限 | 说明 |
|------|------|
| **OpenClaw 生态绑定** | 专为 OpenClaw 设计,其他 Agent 框架需适配 |
| **规则更新依赖** | 新型攻击需人工更新 135+ 静态模式 |
| **误报可能** | `--strict` 模式可能将合法复杂代码标记为 HIGH 风险 |
| **无动态行为分析** | 纯静态/钩子检测,不监控实际进程行为 |
| **运行时覆盖限制** | 仅拦截 `before_tool_call` 钩子点,其他阶段无防护 |
| **社区维护** | 开源项目,长期维护依赖社区贡献 |
---
适合人群
- OpenClaw 用户 — 必装安全基线工具
- AI Agent 开发者 — 发布前自检与 CI/CD 集成
- MCP 服务器运营者 — 防范工具投毒与 SSRF
- 安全审计人员 — 针对 LLM 特有攻击的专项检测
- 企业合规团队 — 生成 SARIF 报告对接安全平台
---
常规风险
1. 过度信任风险:扫描通过≠绝对安全,新型攻击可能绕过规则集
2. 配置疏漏:未启用运行时守卫或设为 monitor 模式将丧失实时防护
3. 自我排除误用:--self-exclude 可能漏过 guard-scanner 自身的更新风险
4. 报告堆积:~/.openclaw/guard-scanner/audit.jsonl 需定期归档避免磁盘膨胀
5. 社会工程绕过:恶意技能可能诱导用户关闭扫描或切换至宽松模式
---
信任背书
- 开源透明:https://github.com/koatora20/guard-scanner
- 测试覆盖:134 测试用例,24 套件,100% 通过率
- 威胁分类:基于 Snyk ToxicSkills (2026.2)、OWASP MCP Top 10 及原创研究
- 与 VirusTotal 互补:专精提示注入等 LLM 特有攻击,弥补传统杀软盲区