openclaw-defender

核心用法

openclaw-defender 采用防御纵深策略，使用前需执行 generate-baseline.sh 建立关键文件（SOUL.md、MEMORY.md、SKILL.md 等）的 SHA256 完整性基线。日常通过 check-integrity.sh 进行文件完整性校验，结合 crontab 每10分钟自动监控。安装新技能前必须运行 audit-skills.sh 进行预安装审计，检测 Base64 编码、Unicode 隐写、提示注入等 5 类威胁模式。运行时通过 runtime-monitor.sh hook 技能执行流程，实施网络请求拦截、文件访问控制、命令执行白名单和 RAG 操作禁止。紧急情况下可激活 Kill Switch 立即阻断所有操作。

显著优点

该框架基于 Snyk 2026年2月 ToxicSkills 真实威胁研究构建，针对性防御 13.4% 的恶意技能生态。七层防御体系（预安装审计、完整性监控、运行时防护、输出净化、紧急响应、模式检测、A2A 端点安全）形成纵深防御。Kill Switch 机制可在检测到关键威胁时自动或手动激活，防止损害扩大。提供结构化 JSON Lines 日志和 Markdown 事件报告，支持取证分析和 SIEM 集成。内置已知恶意作者和技能黑名单（blocklist.conf），支持自动更新。合谋检测功能可识别多技能协同攻击和 Sybil 网络。

潜在缺点与局限性

作为 T3 级个人来源项目，虽然代码规范但缺乏企业级代码签名和第三方安全审计背书。运行时防护功能依赖 OpenClaw 网关正确调用 runtime-monitor.sh 的 start/end 钩子，若网关未集成则该层防御失效。update-lists.sh 需从网络下载 blocklist 配置，虽有备份机制但缺乏数字签名验证。需要较高系统权限（文件监控、网络拦截、命令执行），在受限环境中部署困难。当前仅支持 Bash 环境，跨平台兼容性有限，且依赖 curl、jq 等外部工具。

适合的目标群体

主要面向安全意识强的 OpenClaw/OpenAI Agent 高级用户，特别是需要从 ClawHub 等第三方市场安装技能的用户。适用于企业级 AI Agent 部署场景，尤其是那些处理敏感数据或具备 A2A 端点能力的生产环境。DevSecOps 团队可利用其结构化日志和自动化审计能力构建 CI/CD 安全门禁。不适合完全隔离的内网环境（无需供应链防护）或无法授予必要权限的受限沙箱环境。

使用风险

供应链风险：update-lists.sh 从 GitHub 下载 blocklist.conf，若官方仓库被入侵或 DNS 劫持可能导致恶意规则注入。权限风险：作为安全工具需 root 级访问权限，本身被 compromise 将导致全部防御失效。运行时依赖风险：若 OpenClaw 版本未集成 runtime-monitor 调用钩子，则 7 层防御中的第 3、4、5 层实际处于休眠状态，用户可能产生虚假安全感。误报风险：严格的模式匹配可能将合法技能的复杂编码误判为恶意，影响业务连续性。维护成本：需每月手动执行安全审计并更新基线，对普通用户而言运维负担较重。

核心功能

openclaw-defender 是专为 OpenClaw Agent 生态设计的供应链安全防护框架，基于 Snyk 2026年2月 ToxicSkills 研究报告构建，针对 ClawHub 平台 13.4% 的恶意 Skill 率提供系统性防御。

显著优点

1. 7层纵深防御架构

• 预安装审计：基于 blocklist.conf 阻断已知恶意作者/Skill，GitHub 账户年龄验证（>90天），威胁模式扫描（base64、unicode 隐写、越狱指令）
• 文件完整性监控：SHA256 基线哈希 + manifest 链式校验，防止 SOUL.md/MEMORY.md/IDENTITY.md 等核心文件被投毒
• 运行时保护：网络请求拦截、文件访问控制、命令执行白名单、RAG 操作禁止（防御 EchoLeak/GeminiJack）
• 输出净化：密钥/邮箱/base64 数据自动脱敏
• 紧急熔断（Kill Switch）：检测到关键威胁时自动阻断所有操作
• 安全分析与合谋检测：多 Skill 协同攻击识别
• A2A 端点安全：未来扩展层

2. 零依赖轻量实现：纯 Bash 脚本，仅依赖标准 Unix 工具（grep/sed/awk/curl），无第三方包，攻击面极小

3. 开源透明：MIT 许可证，GitHub 活跃维护，安全研究者 nightfullstar 主导开发

4. 生产级验证：CLS-Certify 安全认证 A 级（82分），通过静态代码分析、动态行为分析、依赖审计、隐私合规全项检测

潜在局限

• 运行时保护依赖集成：runtime-monitor.sh 需 OpenClaw 网关显式调用 start/end 钩子，若未集成则保护层休眠
• 零日攻击盲区：仅检测已知威胁模式，新型攻击需人工更新规则
• 网络信任假设：GitHub API 和 raw.githubusercontent.com 被预设为可信源，存在理论供应链风险（已配置备份机制）
• kill-switch 状态持久化：依赖文件系统标记，若 .kill-switch 文件被恶意删除可能绕过（建议启用不可变属性）

适合人群

• OpenClaw Agent 运营者：必须部署，应对 13.4% 恶意 Skill 率
• 高价值 Agent 场景：加密货币、交易、企业数据处理的 Agent
• 安全合规要求场景：需满足 ERC-8004/A2A 协议安全标准
• 安全意识较强的开发者：愿意执行月度审计、基线更新等运维操作

常规风险

| 风险项 | 等级 | 说明 |

|--------|------|------|

| 外部网络请求（GitHub API/blocklist 更新） | 中 | TLS 1.3 加密，可信域，功能必需 |

| 动态命令执行监控 | 中 | 运行时拦截机制，有明确日志 |

| 日志无限制增长 | 低 | 长期运行需手动轮转 |

| kill-switch 绕过 | 低 | 文件标记机制，非硬件级保护 |

部署建议

必须执行：首次运行 generate-baseline.sh 建立文件完整性基线，配置 crontab 每10分钟自动巡检。

严格遵循：永远不要从 ClawHub 直接安装 Skill，即使审计后也应本地重建。

定期维护：每月首个周一执行全面审计，关注 Snyk ToxicSkills 研究更新。