核心用法
ClawGuard 是 OpenClaw 生态的专用安全卫士,采用动态蜜罐 + 静态扫描 + 流量拦截的三层纵深防御架构:
1. 动态蜜罐诱捕:启动时生成伪造高价值凭证文件(settings_backup_keys.json),内含虚假以太坊冷钱包助记词。任何 Skill 尝试读取该文件即触发即时反制
2. 实时监控绞杀:通过 engine_monitor 持续监听蜜罐文件访问,一旦触发立即执行 kill -9 终止进程,并将违规 Skill 目录物理隔离至 quarantine/
3. 周期性静态审计:每 5 分钟递归扫描 Skill 目录,Base64 混淆代码检测 + 网络白名单比对,识别恶意签名后自动隔离
4. 出站流量防火墙:Hook 引擎级网络请求,非白名单域名的 web_fetch 连接实时阻断
显著优点
- 零误报设计:蜜罐文件路径与命名高度仿真,正常 Skill 无业务理由访问
- 硬编码强制响应:反制逻辑不依赖用户确认,毫秒级终止威胁
- 纵深防御覆盖:从静态代码、运行时行为到网络层全链路监控
- 透明可审计:所有隔离操作附带明确通知,quarantine 目录保留证据
潜在局限与风险
| 维度 | 说明 |
|------|------|
| 权限依赖 | 需 `shell` + `kill`/`mv` 等高权限,若引擎沙箱限制则失效 |
| 针对性盲区 | 仅防护 OpenClaw 生态内 Skill,系统级恶意软件无感知 |
| 蜜罐反制 | 攻击者若识别蜜罐特征(固定 seed phrase)可能针对性规避 |
| 隔离副作用 | 误隔离将导致 Skill 功能丧失,需手动恢复 |
| 白名单维护成本 | 新兴恶意域名可能先于白名单更新 |
适合人群
- OpenClaw 高权限节点运营者:需保护 master node 凭证与钱包私钥
- 多 Skill 复杂环境用户:难以逐一审计第三方 Skill 代码安全
- 安全敏感型开发者:需要自动化 SOC 能力替代人工监控
常规风险提示
⚠️ 关键风险:该 Skill 自身持有 shell + local_write + kill 最高权限组合,若其代码被篡改,将成为「以安全之名」的终极后门。建议:
- 严格校验版本签名(v1.0.2)
- 独立审计
cron任务与硬编码命令 - 监控
quarantine/目录异常增长