sec-audit

🔍 OpenClaw 安全审计与漏洞检测

OpenClaw 部署安全配置审计工具,只读检测漏洞与隐患,覆盖 15+ 安全检测项,不修改系统配置。

收藏
5.4k
安装
1.8k
版本
1.0.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

OpenClaw Security Audit Skill 是一款专为 OpenClaw 平台设计的安全审计工具,通过命令行接口执行只读安全检测。基础用法为 node tools/security-audit.js,支持 JSON 格式输出(--format json --output)及模块化检测(--module 参数指定 env/auth/skills/ioc 等子集)。

显著优点

1. 全面覆盖:内置 15 项安全检测,涵盖环境变量泄露、明文凭据存储、网关认证与绑定地址、沙箱配置、速率限制、恶意 Skill 扫描、IOC 指标(恶意 IP/域名/文件哈希)、SKILL.md 恶意内容/Base64 编码命令检测、进程隔离、WebSocket 加密、频道策略、审计日志等。
2. 只读安全承诺:明确声明不修改任何系统配置,检测数据仅本地保存,无外传风险。

3. 风险分级输出:采用 CRITICAL/HIGH/MEDIUM/LOW 四级颜色标识,便于快速定位优先修复项。

4. 模块化灵活:支持按需选择检测模块,减少资源消耗。

潜在局限

  • 被动检测:仅识别已知漏洞和 IOC,无法发现零日威胁或未知攻击模式。
  • 依赖签名库:恶意 Skill 与攻击者检测依赖 ClawHavoc 黑名单,需定期更新以保持时效性。
  • 无自动修复:仅输出报告,不提供一键修复或配置加固建议。
  • Node.js 环境依赖:需目标系统已安装 Node.js 运行时。

适合人群

  • OpenClaw 平台运维工程师与安全管理员
  • 需满足合规审计(如 SOC 2、ISO 27001)的企业安全团队
  • 开发团队在 CI/CD 流程中集成安全门禁

常规风险

  • 误报风险:SKILL.md 内容检测可能将合法 Base64 数据标记为可疑命令。
  • 漏报风险:新出现的恶意 Skill 作者或 IOC 未及时入库时无法触发告警。
  • 运行环境风险:在生产环境首次运行前,强烈建议先在测试环境验证,避免检测负载影响业务。

sec-audit 内容

tools文件夹
手动下载zip · 15.6 kB
security-audit.jstext/javascript
请选择文件