核心用法
page-behavior-audit 是一款面向前端安全与供应链合规的自动化审计技能,通过无头浏览器深度扫描目标页面行为。用户仅需提供目标URL,系统将自动完成浏览器启动、导航等待、重定向劫持、内容提取、敏感词哈希检测、响应监控、截图存档及HAR导出等全流程。
显著优点
1. CSP合规的隐私保护设计:敏感词检测采用SHA256哈希列表而非明文存储,从架构层面消除敏感词库泄露风险,满足企业内容安全策略(CSP)合规要求。
2. 供应链攻击面覆盖:内置XML伪装检测规则(如图片接口返回XML),有效识别SSRF/XXE类攻击向量,适配现代Web供应链安全场景。
3. 行为级可观测性:通过注入JavaScript劫持location.assign与location.replace,完整捕获页面重定向链,辅助追踪恶意跳转或钓鱼行为。
4. 企业级告警闭环:检测到CRITICAL级别事件时自动触发企业微信告警,实现"检测-响应"自动化。
潜在局限
- 沙箱逃逸风险:
--no-sandbox启动参数虽为容器环境妥协,但理论上扩大攻击面;需依赖底层运行时隔离(如gVisor/Kata)补强。 - 哈希碰撞盲区:纯哈希匹配策略存在极小概率的碰撞误报,且无法支持语义变体检测(需额外NLP层)。
- 超时刚性限制:15秒硬超时对重度SPA应用可能不足,导致审计截断。
- 来源可信度未完全验证:策略源标注为阿里云百炼平台,但哈希列表本身未经第三方公开审计。
适合人群
- 安全运营团队:需批量审计Landing页、营销活动页的内容合规性。
- DevSecOps工程师:集成CI/CD流水线,在部署前拦截含敏感信息的构建产物。
- 红队/渗透测试人员:快速生成页面行为基线与HAR证据链。
常规风险
| 风险类型 | 等级 | 说明 |
|---------|------|------|
| 浏览器RCE | 中 | Chromium漏洞可能通过恶意页面触发,需及时更新基础镜像。 |
| 敏感数据残留 | 低 | 截图/HAR存储于`/var/log/openclaw/audit`,需配置日志生命周期策略。 |
| 策略源单点故障 | 低 | 依赖阿里云百炼服务可用性,建议本地缓存策略哈希。 |