test123asdzc

🛡️ OpenClaw 专属安全体检 · 腾讯朱雀出品

由腾讯朱雀实验室出品,为OpenClaw环境提供全方位安全体检,审计配置、扫描恶意Skill、匹配CVE漏洞,支持零外联纯本地模式。

收藏
4.9k
安装
1.1k
版本
1.0.13
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

edgeone-clawscan 是 OpenClaw 生态的专用安全审计工具,提供两大核心功能:

Feature 1: OpenClaw 安全体检(4步完整扫描)

  • Step 1 配置审计:运行 openclaw security audit --deep 检测网关暴露、权限配置等风险
  • Step 2 Skill 供应链风险:云端威胁情报+本地静态分析双轨检测已安装Skill
  • Step 3 CVE 漏洞匹配:查询 A.I.G 漏洞库获取 OpenClaw 版本关联的安全公告
  • Step 4 隐私泄露自评:基于权限元数据和配置状态评估敏感数据暴露路径

Feature 2: 单Skill安全扫描

  • 针对特定Skill的预安装审查或安装后审计
  • 云端快速 verdict + 深度本地代码分析双模式

显著优点

| 优势 | 说明 |
|------|------|
| 腾讯安全背书 | 腾讯朱雀实验室 A.I.G 团队出品,威胁情报持续更新 |
| 隐私优先设计 | 默认最小化外联(仅传skill名+来源+版本号),支持 `AIG_CLOUD_LOOKUP=off` 纯离线模式 |
| 双轨检测机制 | 云端实时情报弥补本地静态分析盲区(如安装后更新植入恶意代码) |
| 韧性架构 | API 故障自动降级本地审计,不阻断扫描流程 |
| 透明披露 | 完整声明所有网络行为、数据发送字段、失败处理模式 |
| 多语言自适应 | 自动检测用户输入语言,输出一致语言体验 |

潜在局限与注意事项

1. 云端依赖权衡:获取最新威胁情报需外联 Tencent A.I.G,虽可关闭但会损失供应链风险实时检测能力
2. 静态分析边界:本地代码审计为静态分析,不覆盖运行时动态行为(如条件触发的恶意载荷)

3. 自定义Skill盲区:local/github 来源Skill默认走本地审计,无云端情报支持

4. 生产环境谨慎--deep 标志会主动探测配置网关,运行前需确认非生产环境或已评估风险

5. 证书与来源验证:Skill集市"所有者"标签可能与实际作者不一致,需对照官方仓库验证

适合人群

  • AI 应用开发者:需要审计 OpenClaw 环境安全配置
  • 企业安全团队:评估内部 OpenClaw 部署的供应链风险
  • 安全意识强的个人用户:安装新Skill前的预检习惯养成
  • 合规审计人员:需要完整披露网络行为和数据传输的安全工具

常规风险

| 风险场景 | 说明 |
|----------|------|
| 二进制冒用 | `openclaw` 命令可能被 PATH 上的其他同名工具劫持,运行前需 `which openclaw` 验证 |
| 生产网关误探 | `--deep` 模式可能向生产网关发送探测流量,需提前确认环境隔离性 |
| 供应链滞后 | 零外联模式下无法检测「安装后更新植入恶意代码」的新型威胁 |
| 过度信任云端 | 未经验证来源的Skill即使云端返回safe也可能存在误报,建议关键Skill本地复核 |

安全等级说明

  • 云端传输:仅skill名称、来源标签、OpenClaw版本号(不含源码、对话、工作区文件)
  • 离线模式:完全零外联,依赖本地规则库
  • 自托管支持:可通过 AIG_BASE_URL 指向私有 A.I.G 实例

test123asdzc 内容

手动下载zip · 19.0 kB
SKILL.mdtext/markdown
请选择文件