flaw0

🔍 AI驱动的零缺陷安全扫描器

AI驱动的OpenClaw生态安全扫描器,检测代码漏洞与依赖风险,目标实现零缺陷(flaw 0)。

收藏
12.5k
安装
2.6k
版本
0.1.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心功能与用法

flaw0 是专为 OpenClaw 生态系统设计的安全扫描工具,提供三层防护能力:

1. 代码安全扫描

支持检测12类常见漏洞:命令注入、代码注入(eval)、SQL注入、XSS、路径遍历、硬编码密钥、弱加密算法、不安全随机数、反序列化漏洞、缺失认证等。通过正则模式匹配+Claude AI 上下文分析,显著降低误报率。

2. 依赖安全检查

集成 CVE 数据库与 npm audit,识别已知漏洞包、恶意包、过期依赖及依赖膨胀问题。

3. 智能评分系统

独创 flaw score 机制(0=完美,10+=严重),按严重程度加权计分,输出可视化报告。

典型工作流flaw0 scan(代码扫描)→ flaw0 deps(依赖检查)→ flaw0 audit(全面审计)。支持 CI/CD 集成与 pre-commit 钩子。

---

显著优点

| 优势 | 说明 |
|------|------|
| **AI 深度分析** | 基于 Claude 模型的上下文感知检测,提供置信度评分与具体修复建议 |
| **多模型支持** | sonnet(平衡)、opus(最准)、haiku(最快)三档可选 |
| **生态专精** | 原生支持 OpenClaw skills/plugins/core 扫描,竞品无此能力 |
| **低误报** | AI 过滤非问题项,减少开发者噪音 |
| **灵活配置** | `.flaw0rc.json` 支持细粒度规则定制与忽略策略 |

---

局限性与风险

技术局限

  • API 依赖:核心功能需 Anthropic API 密钥,存在成本与速率限制
  • Node.js 专属:仅支持 JavaScript/Node 生态,Python/Go 支持待开发
  • AI 幻觉风险:复杂代码场景下 AI 可能产生错误判断,需人工复核关键漏洞
  • 覆盖盲区:零日漏洞、业务逻辑缺陷无法通过静态规则捕获

运营风险

  • 供应链信任:工具本身作为 npm 包,若被篡改将成攻击入口
  • 密钥管理:需妥善保管 ANTHROPIC_API_KEY,避免 CI 日志泄露
  • 合规敏感:代码上传至第三方 AI 服务,可能违反企业数据出境规定

---

适合人群

  • OpenClaw 开发者:构建 skills/plugins 前的安全自检
  • Node.js 项目团队:追求自动化安全门禁的中小型项目
  • 安全新手:依赖 AI 建议学习漏洞修复的开发者
  • CI/CD 工程师:需要轻量级安全扫描集成方案

---

安全等级评估

整体安全架构合理,但需注意:AI 分析涉及代码外传,敏感项目建议本地模式或脱敏处理;工具权限与普通 npm 包同级,无系统级特权需求。

flaw0 内容

.claude文件夹
examples文件夹
src文件夹
test文件夹
手动下载zip · 42.3 kB
settings.local.jsonapplication/json
请选择文件