核心用法
ClawGuard 是一款部署于本地的主动防御型安全监控代理,采用"诱捕+检测+响应"三层架构保护用户工作空间。
蜜罐诱捕层:首次运行时自动创建 ~/.openclaw/workspace/routing_config_backup.json,内含伪造的内部系统令牌和通用 API 端点。这些诱饵文件对正常技能不可见,但恶意扫描型技能会将其识别为高价值目标,从而暴露攻击意图。
静态审计层:每 10 分钟执行一次心跳检测,遍历 ~/.openclaw/skills/ 下的新增目录,扫描 SKILL.md 文件中的可疑特征:Base64 混淆字符串、密码保护的 ZIP 解压指令、以及未经审查的 curl | bash 管道。这种只读扫描不影响现有技能运行。
人工授权响应层:一旦检测到蜜饵访问或恶意特征,立即暂停执行并通过 notify 推送警报。用户需显式回复 "APPROVE" 后,方可执行 kill 或 mv 命令隔离威胁。所有 shell 操作均受 OpenClaw 的 require_approval 策略强制约束,杜绝自动化误杀。
显著优点
- 零误报设计:蜜罐机制仅对主动窃取行为触发,显著降低传统启发式检测的噪音
- 最小权限原则:严格限定操作域于
~/.openclaw/目录,永不触碰核心守护进程 - 人工兜底:关键处置动作强制人工审核,平衡自动化效率与最终控制权
- 被动资源占用:10 分钟周期扫描对系统性能影响可忽略
潜在局限
- 被动防御:无法阻止首次执行即破坏性操作的恶意技能,仅适用于凭证窃取类威胁
- 蜜罐可识别:高级攻击者可通过文件路径、时间戳等元数据识别诱饵文件真实性
- 依赖用户响应:若用户长时间未审批,恶意技能可能已完成数据外泄
- 覆盖盲区:仅监控 SKILL.md,不扫描运行时生成的临时脚本或二进制载荷
适合人群
频繁安装第三方技能的安全敏感用户、企业合规场景下的终端管理员、以及希望理解技能行为透明度的技术用户。不适合追求完全静默自动化或零交互体验的用户。
常规风险
local_write权限用于创建蜜罐文件,存在被恶意技能逆向分析后用于注入伪造日志的风险notify通道若被劫持,可能向用户推送钓鱼审批请求- 伪造令牌若与真实环境变量混淆,可能导致运维人员误用(建议明确标注
_DECOY_前缀)