核心用法
Agent Hardening Skill 是一套面向 OpenClaw 智能体环境的安全审计脚本集,通过 4 项只读检查帮助用户识别常见攻击面:
1. Unicode 注入扫描:递归检测记忆文件中隐藏的零宽字符(U+200C、U+200D、U+2060、U+2063、U+FEFF),这些字符常被用于视觉欺骗或命令注入攻击。
2. 输入清理验证:提供 Python 可验证的清理函数示例,演示如何通过 unicodedata.category(c) != 'Cf' 过滤格式控制字符,确保输入处理链的健壮性。
3. 工具权限审查:解析 OpenClaw 配置文件,高亮 tools、exec、elevated 等特权配置,帮助发现过度授权风险。
4. 网络抓取策略审计:追踪记忆文件中 web_fetch、curl、wget 等外部资源调用痕迹,辅助评估数据外泄或未授权访问风险。
5. 周期性检查:建议集成至心跳配置实现每周自动化巡检。
显著优点
- 零侵入设计:全程只读操作,不修改任何文件或配置,适合生产环境离线审计
- 轻量高效:纯 Bash/Python 3 标准库实现,无外部依赖,秒级执行
- 针对性强:精准覆盖 LLM Agent 场景特有攻击向量(提示注入中的零宽字符、工具滥用)
- 可信来源:ZeroLeaks Security Research 背书,附自我声明的安全认证
潜在局限
- 被动检测:仅识别已存在痕迹,无法拦截实时攻击或主动加固系统
- 配置路径硬编码:依赖
~/clawd/固定目录结构,非标准安装需手动调整路径 - 无修复自动化:发现问题后需人工介入处理,不提供一键修复功能
- 覆盖范围有限:未涵盖内存安全、供应链污染、模型权重篡改等深层威胁
适合人群
- OpenClaw 平台管理员与运维工程师
- 企业安全团队进行 Agent 部署前的基线审计
- 对 LLM 系统安全有基础认知的开发者
- 需满足合规要求的自动化巡检场景
常规风险
- 误报可能:零宽字符可能合法存在于多语言内容中,需人工复核
- 配置泄露:审查脚本会输出
config.yaml敏感片段,注意日志管控 - 社会工程:攻击者可能伪造同名技能实施钓鱼,建议通过官方渠道校验来源
---
| 属性 | 评估 |
|:---|:---|
| 技术成熟度 | 中等(审计脚本,非生产级防护系统) |
| 维护状态 | 活跃(ZeroLeaks 维护) |
| 社区采用 | 小众垂直(OpenClaw 生态) |