核心功能
ClawSecCheck 是一款专为 OpenClaw AI 代理设计的本地只读安全自审计工具。它通过读取用户本地的 OpenClaw 配置文件、引导文件、日志文件、代理会话记录及已安装技能,生成 A-F 等级的安全评分报告,帮助用户识别配置错误、提示注入风险和潜在恶意代码。
显著优点
完全本地化与隐私保护:工具采用纯 Python 标准库编写,无需依赖,不发起任何网络请求,所有数据严格保留在用户机器上。审计过程只读取不修改,敏感信息(如密钥库路径)仅检查存在性而不读取内容。
全面的攻击面覆盖:审计涵盖 7 大安全领域:网络暴露与通道、权限与执行(含致命三重奏检测)、供应链(技能/MCP)、内容与内存完整性、密钥与数据、检测与主机防御、自动化与维护。特别针对 ClawHavoc 恶意软件家族(shell 执行、凭证窃取、上传通道、Base64 混淆载荷)进行静态代码分析。
创新的隔离分析架构:对于不可信内容(待审查技能、MCP 服务器描述),支持通过子代理隔离模式进行安全分析。隔离子代理被授予零工具权限、最大嵌套深度为 1、生命周期临时,确保恶意载荷无法逃逸至主代理上下文。
丰富的输出格式:支持仪表板视图、JSON、HTML、SARIF、趋势图、可分享徽章等多种格式,适合 CLI 交互、CI/CD 集成和合规报告场景。
潜在局限
静态分析的边界:作为配置和文件系统扫描工具,ClawSecCheck 无法观测运行时行为。高评分仅代表"静态非致命配置",而非"运行时免疫"。OpenClaw 核心缺乏运行时出口/污点网关,干净的三重奏评分不能替代实际注入测试。
能力报告的依赖性:B43/B44 等关键检查依赖代理自我报告的工具清单和审批门控状态。若用户无法准确提供或代理环境受限,相关检查将返回 UNKNOWN,降低评估完整性。
技能代码的浅层扫描:Python AST 解析仅做静态模式匹配,不执行实际代码,可能遗漏动态生成的恶意行为。插件的 JS/TS 运行时代码超出扫描深度。
无自动修复:工具严格遵循"仅报告不修复"原则,所有加固决策和行动留给用户自行判断和执行。
适合人群
- OpenClaw 代理的个人用户和团队管理员
- 关注 AI 代理供应链安全的开发者
- 需要通过 CI/CD 自动化安全门禁的 DevOps 工程师
- 对 LLM 提示注入和权限配置风险敏感的安全从业者
常规风险
- 过度信任评分:A 级评分可能使用户产生虚假安全感,忽视运行时注入测试的必要性
- 审计输出被污染:报告可能引用恶意技能名称或载荷片段,用户需警惕不执行其中嵌入的任何指令
- 历史数据积累:默认写入
~/.clawseccheck/的审计历史可能暴露配置结构信息,多用户共享机器需注意权限设置 - 子代理功能依赖:隔离分析模式需要宿主环境支持
agents.subagents,否则回退到风险较高的内联单代理读取模式