AuditClaw GRC

🛡️ AI原生企业合规一站式平台

企业级AI原生GRC合规平台,覆盖13大安全框架,自动化管理控制、证据、风险与审计流程,支持主流云厂商集成。

收藏
4.7k
安装
1.1k
版本
1.0.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心功能

AuditClaw GRC 是专为OpenClaw打造的AI原生治理、风险与合规(GRC)平台,整合13个国际主流安全框架,包括SOC 2、ISO 27001、HIPAA、GDPR、NIST CSF、PCI DSS、FedRAMP等,内置990+预定义控制项,支持97种管理操作。

核心能力矩阵

  • 合规管理:框架激活、差距分析、合规评分、趋势追踪
  • 证据生命周期:手动/自动证据收集、版本控制、审计导出
  • 风险治理:风险登记、 likelihood-impact评估、缓解跟踪
  • 供应商管理:供应商分级、安全问卷、持续监控
  • 事件响应:事件记录、时间线追踪、事后复盘(MTTR)
  • 资产管理:资产生命周期、加密状态、补丁合规
  • 安全扫描:HTTP安全头、SSL/TLS证书、GDPR Cookie合规检测

技术架构优势

  • 本地SQLite数据库(WAL模式),文件权限严格限制(0o600)
  • 凭证隔离存储,原子写入+安全擦除,零日志暴露
  • Trust Center生成纯本地HTML,用户自主决定托管位置
  • 依赖最小化:仅requests==2.31.0,无运行时膨胀

生态集成
通过配套技能连接AWS、Azure、GCP、GitHub及身份提供商,实现云资源配置的自动化证据采集。

显著优点

1. 框架覆盖广度:13个框架一键激活,满足跨国企业多合规并行需求
2. AI原生设计:智能建议下一步操作、自动推断证据类型、风险评分辅助决策

3. 本地优先架构:敏感数据不出境,满足数据主权要求

4. 审计友好:一键生成审计包(ZIP)、HTML报告、Trust Center页面

5. 渐进式扩展:按需安装云厂商插件,避免功能冗余

潜在局限

  • 部署限制:仅支持macOS/Linux,依赖Python 3和Chromium系浏览器
  • 数据库规模:SQLite适合中小型企业,超大规模部署可能需架构调整
  • 框架深度:预置控制项基于标准映射,高度定制化场景需手动调整
  • 无内置工作流引擎:审批流程依赖外部系统集成

适用人群

  • 合规官/审计经理:需要同时管理多个框架的中小型企业
  • 安全工程师:寻求自动化证据收集和持续监控的技术团队
  • 创业公司:准备SOC 2 Type II或ISO 27001首次认证
  • 云原生团队:AWS/Azure/GCP多环境混合架构的DevSecOps实践者

常规风险

| 风险类别 | 说明 | 缓解措施 |
|---------|------|---------|
| 凭证泄露 | 云厂商API密钥本地存储 | 文件系统0o700权限、环境变量隔离、只读IAM策略 |
| 扫描误报 | 安全头检测可能遗漏业务逻辑漏洞 | 结合渗透测试,不替代深度安全评估 |
| 合规评分幻觉 | AI可能高估控制成熟度 | 强制证据附件、人工复核关键控制 |
| 数据丢失 | SQLite单文件无内置高可用 | 定期备份~/.openclaw/grc/目录 |
| 框架过时 | 标准更新可能滞后 | 关注官方公告,手动补充新增控制项 |

AuditClaw GRC 内容

assets文件夹
frameworks文件夹
policy_templates文件夹
scripts文件夹
skills文件夹
grc-gaps文件夹
grc-incidents文件夹
grc-report文件夹
grc-risks文件夹
grc-scan文件夹
grc-score文件夹
grc-trust文件夹
手动下载zip · 252.4 kB
ccpa.jsonapplication/json
请选择文件