openclaw-security-guard

🛡️ OpenClaw 零遥测安全审计官

由2PiData开发的OpenClaw安全审计工具,A级安全认证,零遥测本地扫描五大安全维度,自动修复配置漏洞。

收藏
1.8k
安装
600
版本
v1.0.0
CLS 安全性认证2026-05-21
点击查看完整报告 >

使用说明

OpenClaw Security Guard 是一款专为 OpenClaw 生态设计的本地安全审计工具,由 2PiData 开发并通过 A 级安全认证。该工具以命令行界面(CLI)结合实时 Web 仪表板的形式,为 OpenClaw 用户提供全方位的安全配置检查服务。

核心用法

用户通过 npm install -g openclaw-security-guard 安装后,可执行 openclaw-guard audit 启动五大维度的深度扫描:Secrets 扫描器检测 15 种以上格式的 API 密钥与密码;配置审计器检查沙盒模式、网关绑定等安全策略;提示词注入检测器识别 50 余种越狱与角色劫持模式;依赖扫描器进行 npm CVE 漏洞检查;MCP 服务器审计器基于允许列表验证第三方服务。扫描完成后生成 0-100 分的安全评分,并支持 openclaw-guard fix 自动修复发现的配置问题,修复前自动创建备份。openclaw-guard dashboard 可启动本地实时监控面板(localhost:18790)。

显著优点

该工具最大亮点是"零遥测"架构,所有扫描与数据处理均在本地完成,无网络请求、无数据上传,完美契合隐私敏感场景。安全实践规范,采用 Zod 进行严格输入验证,使用 PBKDF2 对仪表板密码进行高强度哈希,有效防止路径遍历与 XSS 攻击。依赖版本完全锁定,无动态代码加载风险。支持自动修复的三种模式(交互式/自动/预览),并提供 Git pre-commit 钩子集成,可在代码提交前拦截敏感信息泄露。

潜在缺点与局限性

作为 T3 来源工具(个人开发者/小型组织),缺乏大型开源组织或官方背书,在企业级合规场景中可能面临来源可信度挑战。功能层面,依赖扫描目前仅提供基础检查,完整 CVE 分析仍需配合 npm audit 使用。仪表板界面通过 CDN 加载 Tailwind CSS 和 React,虽为生产环境代码,但在严格隔离网络中可能无法正常显示。此外,该工具专为 OpenClaw 生态定制,无法通用到其他 MCP 或 AI 平台。

适合的目标群体

主要面向 OpenClaw 的个人开发者与中小团队,特别是对数据隐私有极高要求、不希望安全扫描数据外泄的用户。适合需要快速评估 OpenClaw 安装安全基线的技术团队,以及希望在开发流程中集成自动安全检测的 DevOps 工程师。对于注重本地优先(Local-first)安全策略的组织,该工具提供了难得的零网络依赖方案。

使用风险

尽管代码本身通过 A 级安全审查,但用户需注意:自动修复功能虽提供备份,仍建议在运行前手动备份关键配置;仪表板虽绑定 localhost,但在共享开发环境中需设置强密码防止本地未授权访问;作为社区驱动项目,长期维护稳定性与漏洞响应速度可能不及官方工具;T3 来源意味着供应链攻击风险理论上高于 T1/T2 级别工具,建议定期审查代码更新。

安全解读

产品定位

openclaw-security-guard 是一款专为 OpenClaw MCP 生态打造的本地化安全审计工具,由可信组织 2PiData 维护,采用零遥测架构设计,所有扫描与分析均在本地完成。

核心功能

  • Secrets 扫描器:支持 15+ 种格式的高熵字符串检测,覆盖 API key、token、密码等敏感信息
  • 配置审计器:检查沙盒模式、DM 策略、网关绑定、速率限制等关键安全开关
  • 提示词注入检测:内置 50+ 种攻击模式库,识别指令覆盖、角色劫持、越狱攻击
  • 依赖漏洞扫描:集成 npm CVE 扫描能力
  • MCP 服务器验证:基于白名单机制审计已安装的 MCP 服务器

显著优点

  • 极致隐私:零遥测、零追踪、100% 本地运行,完全符合 GDPR/CCPA
  • 多层防护:Zod 输入验证、路径遍历过滤(sanitizePath)、XSS 转义(escapeHtml/escapeJson)、PBKDF2 密码存储
  • 可用性强:一键全量审计、交互式/自动/演练三种修复模式、实时 Web 仪表板、Git 预提交钩子集成
  • 透明可信:MIT 开源,GitHub 组织账号维护,有完整安全策略文档

局限性与注意事项

  • 依赖维护:npm 依赖需人工定期运行 npm audit,无自动 CVE 监控
  • Dashboard 安全头:当前缺少 CSP、X-Frame-Options 等响应头,需手动加固
  • Node 环境限制:仅支持 macOS/Linux/Windows 且需预装 Node.js

适合人群

  • OpenClaw 重度用户及企业部署管理员
  • 对数据隐私极度敏感、拒绝任何云端扫描的安全从业者
  • 需要持续合规审计的 DevSecOps 团队

常规风险

| 风险类型 | 等级 | 说明 |
|---------|------|------|
| 供应链攻击 | 低 | 依赖知名 npm 包,但需定期审计 |
| 配置泄露 | 中 | 工具本身需访问 ~/.openclaw,权限需妥善管理 |
| 本地监听暴露 | 低 | Dashboard 仅绑定 localhost,风险可控 |

综合评分 91/100,安全等级 S,是 OpenClaw 生态目前最成熟的安全加固方案。

openclaw-security-guard 内容

docs文件夹
api文件夹
ar文件夹
en文件夹
fr文件夹
guides文件夹
src文件夹
cli文件夹
dashboard文件夹
hardening文件夹
monitors文件夹
scanners文件夹
utils文件夹
手动下载zip · 62.8 kB
cli.mdtext/markdown
请选择文件