Threat-Radar 综合评估
核心用法
Threat-Radar 是专为 OpenClaw 设计的本地化持续安全监控技能,通过集成 NVD(美国国家漏洞数据库)与 GitHub Advisories 的公开 CVE 数据,对运行环境进行多维度扫描:Docker 镜像漏洞检测(类 Trivy)、npm/pip/cargo 依赖审计、本地网络端口暴露扫描、SSL/TLS 配置评级、OpenClaw 配置安全基线检查,以及意外公网暴露服务识别。用户可通过 CLI 触发即时扫描(threat-radar scan)或设置定时任务(cron-install),告警按严重等级分流——Critical 立即推送 WhatsApp/Telegram/Discord,High 纳入日汇总,Low 仅周报告。
显著优点
1. 完全离线可用:CVE 数据库下载后,扫描无需外网,适合隔离环境。
2. 精准版本匹配:通过追踪用户实际安装的软件版本(而非通用包名),显著降低误报。
3. 趋势量化:82/100 安全评分、修复耗时预估、历史对比曲线,使安全态势可视化。
4. 修复闭环:每个 CVE 附带具体升级命令(如 npm audit fix、镜像标签替换),实现“发现→定位→修复→验证”闭环。
5. 隐私优先:扫描范围限定本地私有网段(10/8、172.16/12、192.168/16),不上传用户代码或镜像内容。
潜在局限
- 覆盖范围有限:仅支持 npm、pip、cargo 三种依赖生态,Java、Go、Ruby 等语言需等待扩展。
- 无深度利用验证:基于版本号匹配 CVE,不执行实际的漏洞利用验证,可能存在漏报(0-day 或未收录漏洞)。
- 告警疲劳风险:默认 Medium 级即入周报,活跃项目可能累积大量未处理警告。
- 单点依赖:CVE 数据源自 NVD 与 GitHub,若官方延迟更新或 API 变更,检测时效性受影响。
适合人群
- Homelab 运维者:需低成本、低维护的 7×24 安全监控,无预算采购商业漏洞扫描服务。
- 小型开发团队:在 CI/CD 外补充运行时监控,追踪生产镜像的实际漏洞暴露面。
- 安全意识培训场景:通过可视化评分与趋势,向非技术成员解释技术债务与安全投入的关系。
常规风险
| 风险类型 | 说明 | 缓解建议 |
|---------|------|---------|
| 扫描干扰 | 端口扫描可能触发内部 IDS/IPS 告警 | 配置 `local_network_cidrs` 限定范围,或 `--skip-ports` 关闭 |
| 误报升级 | 某些 CVE 在特定配置下不可利用 | 使用 `threat-radar ignore` 标记接受风险 |
| 数据过期 | 离线模式下 CVE 数据库超过 30 天未更新 | 配置 `cron-install` 自动每 6 小时刷新 |
| 权限过高 | 扫描需读取 Docker daemon 与文件系统 | 确保 OpenClaw 以最小权限运行,避免配置泄露 |
总结建议
Threat-Radar 是预算敏感型团队的安全基线工具,其“本地化+自动分级告警”设计在同类开源方案(如 Trivy CLI、Grype)中具备易用性优势。建议与 infra-watchdog、ops-journal 联动形成可观测安全闭环,但不应替代渗透测试或 IAST/RASP 等动态防护手段。