核心用法
ClawGuard 是一款专为 OpenClaw 运行时环境设计的三层入侵防护系统(IPS),无需用户干预即可自动执行安全策略:
1. 蜜罐陷阱(主动诱捕层)
启动时自动部署诱饵文件 settings_backup_keys.json,内含伪造 API 密钥与钱包地址。任何技能尝试读取该文件即视为入侵行为,立即终止进程并推送高优先级警报。此机制基于「攻击者优先窃取高价值凭证」的心理假设,实现零误报入侵检测。
2. 目录审计(静态扫描层)
每 5 分钟递归扫描 skills/ 目录,通过启发式规则检测 SKILL.md 与 skill.json 中的恶意特征:
- Base64 混淆载荷
- 权限声明与实际
web_fetch行为不匹配 - 针对主配置文件的未授权访问尝试
命中特征后自动将可疑技能移至隔离目录并通知用户。
3. 流量监控(运行时防火墙层)
实时监控所有 web_fetch 网络请求,强制校验目标域名是否与技能元数据声明的域白名单一致。任何尝试向未列明 IP 或隐蔽 Webhook 传输数据的行为将被即时阻断。
---
显著优点
| 维度 | 表现 |
|:---|:---|
| **检测深度** | 覆盖静态代码、运行时行为、主动诱捕三维度 |
| **响应速度** | 分钟级周期扫描 + 毫秒级网络拦截 |
| **零配置运行** | 声明式权限(`engine_monitor`)自动生效,无需用户规则编写 |
| **隐私优先** | 明确标注 `zero-telemetry`,所有分析在本地完成 |
| **误报控制** | 蜜罐机制基于行为触发,非特征匹配,理论上零误杀 |
---
潜在缺点与局限性
1. 蜜罐有效性依赖攻击者行为模式:若恶意技能设计目标并非窃取凭证(如单纯挖矿、本地提权),该层防护可能失效
2. 静态签名的滞后性:已知恶意特征库需持续更新,零日混淆技术可能绕过启发式规则
3. 权限扩张风险:engine_monitor 本身为敏感权限,若 ClawGuard 自身被攻破,将成为全局监控单点
4. 隔离非清除:仅移动文件至 quarantine/,依赖用户后续处置,存在误隔离后恢复的学习成本
---
适合人群
- 安装第三方技能的安全敏感型用户
- 运行金融、隐私相关技能的高风险场景
- 企业/团队 OpenClaw 部署的合规审计需求
---
常规风险
| 风险类型 | 说明 |
|:---|:---|
| **过度信任陷阱** | 用户可能因「已安装防护」心理降低对来源的审查 |
| **告警疲劳** | 若技能生态混乱,高频阻断可能引发忽略或关闭 |
| **供应链攻击** | 防护技能本身成为攻击目标,需验证其签名与更新渠道 |