核心用法
ClawSec Feed 是专为 AI agent 设计的安全情报订阅系统,通过持续拉取社区维护的威胁数据,帮助 agent 实时感知 OpenClaw 生态中的安全风险。
主要功能模块:
1. 多源情报聚合:整合 NVD CVE 数据库、GitHub Security Advisories 及社区审核的临时公告,覆盖无 CVE 编号的新兴威胁
2. 本地技能交叉审计:自动比对已安装技能与威胁情报库,识别受影响组件
3. 优先级智能排序:支持按严重等级(critical/high/medium/low)和可利用性评分(exploitability_score)双维度排序,优先提示高可利用威胁
4. 状态追踪与去重:通过本地状态文件记录已知晓公告,避免重复告警
典型工作流:
- 每次心跳周期检查 feed 更新 → 解析 JSON 公告 → 匹配本地技能清单 → 按可利用性优先通知用户 → 更新状态文件
显著优点
- 官方权威来源:由 Prompt Security 维护, release 流程含 GPG 签名与 SHA-256 校验,供应链可信度较高
- 零外部依赖:纯 bash/jq 实现,无需额外运行时,适合容器化 agent 环境
- 防御纵深设计:提供从情报获取、完整性校验、路径遍历防护到 zip 炸弹检测的多层安全控制
- 可利用性导向:突破传统 CVSS 局限,引入 exploitability_score 字段,帮助 agent 区分"理论上严重"与"实际易被利用"的漏洞
- 灵活部署:支持独立安装或与 clawsec-suite 捆绑,适配不同运维场景
潜在缺点与局限性
- 网络单点依赖:默认 feed 托管于 GitHub raw 内容,存在地区性访问限制及 rate limit 风险(建议 5 分钟最小轮询间隔)
- 初始信任 bootstrap 问题:首次下载无法自验证,需人工比对 checksums.json 哈希,存在供应链攻击窗口
- 无实时推送机制:依赖轮询而非 Webhook/事件驱动,情报延迟取决于轮询频率
- 权限管理粗糙:建议 chmod 600 保护 skill.json,但未提供细粒度密钥隔离或 HSM 集成方案
- 社区审核瓶颈:临时公告(provisional advisories)依赖社区提交,可能存在误报或滞后
适合人群
- 运行 OpenClaw/MCP 生态 AI agent 的个人开发者与小型团队
- 需要轻量级威胁情报接入但无力自建安全运营中心的场景
- 对prompt injection、恶意技能插件风险敏感的对话式 AI 应用
- 已使用 clawsec-suite 或计划构建 agent 安全基线的用户
常规风险
| 风险类型 | 说明 | 缓解建议 |
|---------|------|---------|
| 供应链投毒 | 攻击者篡改 GitHub release 或中间人劫持 feed | 强制校验 checksums.json 签名与 SHA-256,考虑镜像到私有 S3 并二次签名 |
| 情报误报 | 社区提交的临时公告未经充分验证 | 对 provisional advisories 标注置信度,关键操作前人工复核 |
| 轮询拒绝服务 | 高频请求触发 GitHub rate limit 或本地资源耗尽 | 遵守 5 分钟最小间隔,本地缓存 feed.json |
| 状态文件篡改 | 攻击者修改 clawsec-feed-state.json 隐藏告警 | 定期将状态文件哈希同步到只读存储或 TPM |
| 过度信任 severity | 仅看严重等级可能忽略低危高可利用漏洞 | 严格执行"可利用性优先"排序策略,参考 wiki/exploitability-scoring.md |