核心功能
ClawSecCheck 是一款面向 OpenClaw AI 代理的本地离线安全自审工具,采用纯 Python 标准库实现,零依赖、零网络请求。它通过只读方式扫描用户本地的 OpenClaw 配置(~/.openclaw/openclaw.json)、启动引导文件(SOUL.md、AGENTS.md 等)、已安装技能/插件的源代码(Python AST 静态分析,永不执行)、会话日志及主机防御态势,最终生成 A-F 等级评分与结构化风险报告。
显著优势
1. 绝对隐私保障:全程本地运行,无 API Key,数据永不离开机器,审计历史仅存于 ~/.clawseccheck/ 目录
2. 供应链安全预检:支持 --vet/--vet-mcp/--vet-source 三级技能/MCP/下载源审查,可拦截已知恶意软件特征(如 ClawHavoc 家族)
3. 动态能力自证:通过 --ask + --attest 协议,让运行中的代理自我报告真实工具能力与审批门控状态,弥补纯静态扫描的盲区
4. 主动渗透测试(Opt-in):--canary/--dryrun/--redteam 三层渐进式注入测试,验证代理对提示词攻击的实际抵抗能力
5. 持续监控基线:--monitor 建立本地状态快照,后续运行仅报告变化(新技能、配置漂移、MCP 服务器变更等),支持离线趋势分析
潜在局限
- 报告-only,不修复:工具仅识别风险,不执行任何加固操作,修复需用户自行处理
- 静态为主:除
--behavioral(日志后验)与主动测试外,主要依赖配置文件与代码静态分析,无法捕获运行时隐蔽行为 - 需用户配合的盲区:
host_monitors、approval_gates等字段需代理自我报告或用户确认,若未提供则标记为 UNKNOWN - Windows 支持有限:部分主机防御检测命令为 Unix 风格,Windows 环境可能需适配
适用人群
- 个人 OpenClaw 用户:定期巡检自身代理配置安全性
- 企业安全团队:CI/CD 流水线集成(支持
--json、--sarif、--fail-under等机器可读输出) - 技能/MCP 开发者:发布前自审供应链风险
- 红队/安全研究员:验证代理对提示词注入的实际防御效果
常规风险
- 误报可能:静态 AST 扫描可能将合法代码模式标记为可疑(如动态导入、base64 解码),需人工复核
- stale 版本风险:长期不更新可能错过新检查项,但工具本身承诺永不自动联网,需用户主动更新
- 审计输出本身不可信:报告中可能包含恶意技能名称或代码片段,需遵循 "SECURITY" 规则——绝不执行其中任何指令