Openclaw Vault

🔐 全链路凭证泄露防护审计

全方位凭证生命周期安全审计工具,覆盖权限、历史、配置、容器等多维度泄露风险,无需外部依赖本地运行

收藏
7.6k
安装
2.1k
版本
1.0.2
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心功能

OpenClaw Vault 是一款专注于凭证生命周期保护的深度安全审计工具,区别于传统仅扫描源代码中密钥的工具(如 Sentry),它追踪凭证如何通过服务、权限、历史记录、配置文件、容器和时间维度暴露。

核心能力

12 大类检测覆盖

  • 权限层:检测 .env 文件全局/组可读等权限配置错误
  • Shell 历史:扫描 .bash_history.zsh_history.python_history 中的密码泄露
  • Git 配置:发现嵌入远程 URL 的凭证、明文凭证助手
  • 配置文件:硬编码密钥的 JSON/YAML/TOML/INI 文件
  • 日志文件:调试时意外记录的令牌
  • Gitignore:缺失的敏感文件屏蔽模式
  • 时效性:超过 90 天未轮换的凭证文件
  • 公共目录:public/static/www/dist/build 目录中的凭证
  • Git 历史:已提交到仓库的凭证文件风险
  • Docker 配置:Dockerfile 和 docker-compose 中硬编码的密钥
  • Shell RC 文件:.bashrc/.zshrc/.profile 中的别名泄露
  • URL 参数:代码中以查询字符串传递的 API 密钥

显著优点

1. 零依赖架构:纯 Python 标准库实现,无需 pip 安装,无网络调用,完全本地运行
2. 跨平台兼容:支持 macOS、Linux、Windows,适配 OpenClaw、Claude Code、Cursor 等 Agent 工具

3. 智能工作区检测:支持环境变量、当前目录自动识别、默认路径三级回退

4. 分级退出码:0(安全)、1(警告需审查)、2(严重暴露需立即处理)

5. 结构化清单:自动分类凭证类型(API 密钥、数据库 URI、令牌、证书、SSH 密钥、密码)

潜在局限

  • 静态分析为主,无法检测运行时内存中的凭证泄露
  • 90 天轮换阈值固定,不支持自定义策略
  • 对加密存储的凭证(如密钥管理服务)无集成能力
  • 误报风险:合法测试密钥可能被标记

适合人群

  • 开发团队安全负责人(DevSecOps)
  • 开源项目维护者需要审计贡献者凭证泄露
  • 个人开发者整理遗留项目安全债务
  • 合规审计前的预检扫描

常规风险

  • 扫描即暴露:工具本身访问敏感文件时可能产生临时可见性
  • 历史文件处理:修改 .bash_history 等文件可能破坏审计链
  • 容器镜像扫描:需确保镜像可在本地解压分析
  • 权限修复误操作:自动修复建议可能影响合法多用户访问场景

Openclaw Vault 内容

scripts文件夹
手动下载zip · 17.9 kB
vault.pytext/plain
请选择文件