核心功能
OpenClaw Security Check 是一款专为 OpenClaw 部署设计的快速安全自检工具,可在 5 秒内完成 10 项关键安全审计。该 skill 采用配置审计 + 主机检查双轨模式,覆盖从应用层到系统层的核心攻击面。
显著优点
- 极速扫描:10 项检查并行执行,适用于高频心跳检测和 CI/CD 流水线
- 精准分级:CRITICAL/HIGH/MEDIUM 三级 severity 标注,优先处理网关暴露、认证绕过等高危问题
- 智能修复:内置 9 条自动化修复配方,支持
--auto-fix模式(需用户确认) - 零依赖运行:纯 Bash 实现,不依赖外部安全扫描引擎
潜在局限
- 范围限定:仅针对 OpenClaw 生态,无法替代通用漏洞扫描器(如 Nessus、OpenVAS)
- 修复风险:SSH 加固、防火墙启用等操作可能导致远程断连,需严格遵循「双会话测试」原则
- secrets 处理:第 7 项「明文密钥检测」只能告警,无法安全自动迁移
- 深度不足:端口暴露检查仅统计数量(>8 即 FAIL),不分析服务指纹
适合人群
- 个人开发者:快速验证本地 OpenClaw 实例安全基线
- 运维工程师:集成至监控体系,实现配置漂移检测
- 安全合规岗:生成标准化 PASS/WARN/FAIL 报告,满足审计留痕需求
常规风险
| 场景 | 风险说明 |
|------|---------|
| 自动修复 SSH | 未配置密钥登录时禁用 PasswordAuthentication 导致锁死 |
| 防火墙启用顺序错误 | UFW `default deny` 先于 SSH allow 规则执行,断连 |
| Token 轮换 | 强制更新 48 字符 token 后,已配对客户端需要重新配置 |
| 配置文件权限 | `chmod 600` 可能与其他组件(如 systemd)的读取需求冲突 |
建议始终使用 --dry-run 预览修复动作,并在 staging 环境验证后再应用于生产。