核心功能
OpenClaw Vault 是一款专注于凭证生命周期保护的深度安全审计工具,区别于传统仅扫描源代码中密钥的工具(如 Sentry),它追踪凭证如何通过服务、权限、历史记录、配置文件、容器和时间维度暴露。
核心能力
12 大类检测覆盖:
- 权限层:检测 .env 文件全局/组可读等权限配置错误
- Shell 历史:扫描
.bash_history、.zsh_history、.python_history中的密码泄露 - Git 配置:发现嵌入远程 URL 的凭证、明文凭证助手
- 配置文件:硬编码密钥的 JSON/YAML/TOML/INI 文件
- 日志文件:调试时意外记录的令牌
- Gitignore:缺失的敏感文件屏蔽模式
- 时效性:超过 90 天未轮换的凭证文件
- 公共目录:public/static/www/dist/build 目录中的凭证
- Git 历史:已提交到仓库的凭证文件风险
- Docker 配置:Dockerfile 和 docker-compose 中硬编码的密钥
- Shell RC 文件:.bashrc/.zshrc/.profile 中的别名泄露
- URL 参数:代码中以查询字符串传递的 API 密钥
显著优点
1. 零依赖架构:纯 Python 标准库实现,无需 pip 安装,无网络调用,完全本地运行
2. 跨平台兼容:支持 macOS、Linux、Windows,适配 OpenClaw、Claude Code、Cursor 等 Agent 工具
3. 智能工作区检测:支持环境变量、当前目录自动识别、默认路径三级回退
4. 分级退出码:0(安全)、1(警告需审查)、2(严重暴露需立即处理)
5. 结构化清单:自动分类凭证类型(API 密钥、数据库 URI、令牌、证书、SSH 密钥、密码)
潜在局限
- 静态分析为主,无法检测运行时内存中的凭证泄露
- 90 天轮换阈值固定,不支持自定义策略
- 对加密存储的凭证(如密钥管理服务)无集成能力
- 误报风险:合法测试密钥可能被标记
适合人群
- 开发团队安全负责人(DevSecOps)
- 开源项目维护者需要审计贡献者凭证泄露
- 个人开发者整理遗留项目安全债务
- 合规审计前的预检扫描
常规风险
- 扫描即暴露:工具本身访问敏感文件时可能产生临时可见性
- 历史文件处理:修改
.bash_history等文件可能破坏审计链 - 容器镜像扫描:需确保镜像可在本地解压分析
- 权限修复误操作:自动修复建议可能影响合法多用户访问场景