canary

Canary 是一款专注于本地开发环境密钥安全检测的防御性工具，通过轻量与深度两种扫描模式，实时监控 API 密钥、数据库密码、SSH 私钥等 30 余种敏感凭证的泄露风险。

核心用法上，Canary 采用双模式运作：轻量扫描在每次启动时静默检查关键位置（如 .env 文件、配置文件权限），无风险时不打扰用户；深度扫描则按需全面检测已安装技能目录、Shell 历史记录、Git 仓库、云凭证文件等。检测到风险后，工具会以纯语言解释问题（如"你的 AWS 密钥可被本机其他用户读取"），并提供一键修复选项，包括调整文件权限、清理历史记录、迁移硬编码密钥等，所有操作前均自动创建加密备份。

显著优点包括：纯本地化设计确保数据零上传，隐私政策明确承诺不存储完整密钥值；通过两轮独立安全审计并修复 15 个漏洞，具备 SHA-256 自我完整性验证机制；支持 30+ 种主流平台密钥格式（OpenAI、AWS、Stripe、GitHub 等）并采用熵分析捕捉未知格式；智能抑制重复告警避免用户疲劳，且所有修复操作需用户明确确认。

潜在局限在于：仅支持本地文件扫描，无法检测远程服务器或云端状态；依赖正则与启发式规则可能产生误报；对加密文件或密码保护存档无能为力；Windows 平台部分功能受限（如权限检查）；大规模目录扫描可能耗时较长。

该工具特别适合开发者、DevOps 工程师及安全审计人员用于日常开发环境自检、CI/CD 部署前审查或团队协作前的安全基线确认。尽管功能强大，用户应注意：工具需申请文件系统读取权限以扫描敏感路径，且来源为社区开发者（T3 级别），建议在企业关键环境使用前进行额外评估。总体而言，这是目前 OpenClaw 生态中安全机制最完善的本地密钥防护方案。