clawsec-suite

🛡️ OpenClaw 官方安全防护中枢

security榜 #12

ClawSec 官方安全套件,内置威胁情报监控、数字签名验证与审批式恶意技能响应,为 OpenClaw 生态提供端到端防护。

收藏
38.6k
安装
8.4k
版本
0.1.5
CLS 安全性认证2026-06-23
点击查看完整报告 >

使用说明

核心功能概述

clawsec-suite 是 Prompt Security 官方推出的 OpenClaw 安全防护中枢,定位于「安全基础设施」层级。其核心能力覆盖四大维度:

1. 威胁情报监控:嵌入式 advisories/feed.json 种子文件配合远程 ClawSec 安全公告源,实时追踪 CVE 及 CLAW 编号漏洞;支持状态持久化,避免重复告警。

2. 签名验证体系:采用 Ed25519 公钥对公告源、校验清单及软件包进行链式验证,指纹 711424e4...befba9c8 需首次离线确认;默认「失效安全(fail-closed)」,禁用 CLAWSEC_ALLOW_UNSIGNED_FEED 即可强制验签。

3. 审批式响应机制:当检测到已安装技能存在恶意公告时,系统执行「双重确认」——首次通知用户、二次显式批准后才执行卸载/禁用;安装流程同样引入 guarded_skill_install.mjs 预审,匹配公告则退出并等待 --confirm-advisory 复执行。

4. OpenClaw 自动化集成:通过 setup_advisory_hook.mjs 注册生命周期钩子,在 agent:bootstrap/new 会话时自动扫描;可选 setup_advisory_cron.mjs 实现 6 小时周期巡检。

显著优势

  • 官方背书:Prompt Security 直接维护,公钥指纹与发布流程透明可审计,来源可信度 T1。
  • 纵深防御:从 feed 拉取、签名验签、哈希比对到用户审批形成完整信任链,无单点妥协风险。
  • 灵活抑制:通过 security-audit.json.clawsec/allowlist.json 支持企业级公告豁免,需显式 "enabledFor": ["advisory"] 门控,避免误配置。
  • 动态扩展:运行时从 https://clawsec.prompt.security/skills/index.json 发现可选技能,不硬编码,保持 catalog 时效性。

潜在局限与风险

  • 供应链依赖:远程 feed 与技能 catalog 均托管于 prompt.security 域名,若域名遭受 DNS 劫持或证书伪造,本地验签成为最后防线;用户需确保首次公钥指纹获取通道安全。
  • Cron 与 Hook 权限:自动化脚本以用户 shell 上下文执行,若 INSTALL_ROOT 指向可写目录,恶意本地进程可能篡改套件文件。
  • 审批疲劳:高频公告场景下,双重确认机制可能引发用户习惯性点击通过,削弱实际防护效果。
  • 版本覆盖--version 省略时采取保守匹配(任意引用技能名的公告即触发拦截),可能导致良性技能因历史 CVE 被误阻。

适合人群

  • 使用 OpenClaw 框架的企业/个人开发者,需系统性安全监控与合规审计能力。
  • 对供应链安全有较高要求、愿意承担手动公钥指纹验证成本的安全团队。
  • 运行多技能组合、需集中化公告抑制与响应编排的复杂部署场景。

常规风险提示

  • 密钥管理skill.json 被强制设为 600 权限,但用户需自行确保 ~/.openclaw 父目录非全局可写。
  • 网络隔离:若部署环境无外网,需预先同步本地种子文件并理解 fallback 行为差异。
  • 状态一致性:迁移自独立 clawsec-feed 时,务必保留单一 state file 路径,防止重复通知。
  • 评分误用exploitability_score 为辅助决策字段,不应替代人工风险评估。

安全解读

核心功能

ClawSec Suite 是专为 OpenClaw/AI Agent 生态设计的安全管理中枢,集成四大核心能力:

1. 实时威胁情报监控

  • 订阅 clawsec.prompt.security 官方安全顾问流,自动识别 CVE 及 ClawSec 专属漏洞编号
  • 支持 exploitability_score 优先级评估(高可利用性+高严重性 > 低可利用性严重漏洞)
  • 本地状态持久化,避免重复告警

2. 加密完整性验证链

  • Ed25519 签名验证:顾问流、校验和清单、Skill 安装包三重签名验证
  • SHA-256 校验和:安装前强制比对哈希
  • Pinned 公钥指纹(711424e4...),首次使用需 out-of-band 验证

3. 双确认安全安装流程

  • 检测到风险标记的 Skill 时,脚本以 exit code 42 中止并展示顾问详情
  • 用户必须显式追加 --confirm-advisory 才允许继续,杜绝误装恶意组件

4. OpenClaw 自动化集成

  • Hook 机制:agent:bootstrap/new 时自动扫描本地安装与顾问匹配
  • Cron 心跳:默认 6 小时周期检查,状态文件位于 ~/.openclaw/clawsec-suite-feed-state.json

显著优势

  • 零供应链风险:无第三方 npm/pip 依赖,纯 Node.js 标准库实现
  • Fail-closed 设计:默认强制签名验证,仅 CLAWSEC_ALLOW_UNSIGNED_FEED=1 可临时绕过
  • 企业级白名单:支持 .clawsec/allowlist.json 配置经安全团队审查的豁免项
  • 跨平台兼容:bash/zsh/PowerShell 路径处理完备,失败快速报错

潜在局限

  • 依赖 prompt-security 组织的中心化顾问源,若上游不可用需依赖本地 seed fallback
  • 手动安装流程复杂(建议优先使用 npx clawhub@latest install
  • 无内置离线模式完整镜像,长期断网环境可用性受限

适合人群

  • AI Agent 平台运维团队:需要统一安全管理入口
  • 安全合规敏感企业:要求安装前强制签名验证与审计日志
  • OpenClaw 生态用户:寻求原生 Hook 集成与自动化响应

常规风险

  • 顾问流延迟风险:默认 5 分钟 rate limit,零日漏洞窗口期可能存在
  • 公钥信任锚定:首次指纹验证若被中间人绕过,后续验证链失效
  • 状态文件权限:chmod 600 依赖用户环境正确配置,多用户系统需注意隔离

clawsec-suite 内容

advisories文件夹
hooks文件夹
clawsec-advisory-guardian文件夹
lib文件夹
scripts文件夹
test文件夹
lib文件夹
手动下载zip · 64.5 kB
feed.jsonapplication/json
请选择文件