核心功能概述
clawsec-suite 是 Prompt Security 官方推出的 OpenClaw 安全防护中枢,定位于「安全基础设施」层级。其核心能力覆盖四大维度:
1. 威胁情报监控:嵌入式 advisories/feed.json 种子文件配合远程 ClawSec 安全公告源,实时追踪 CVE 及 CLAW 编号漏洞;支持状态持久化,避免重复告警。
2. 签名验证体系:采用 Ed25519 公钥对公告源、校验清单及软件包进行链式验证,指纹 711424e4...befba9c8 需首次离线确认;默认「失效安全(fail-closed)」,禁用 CLAWSEC_ALLOW_UNSIGNED_FEED 即可强制验签。
3. 审批式响应机制:当检测到已安装技能存在恶意公告时,系统执行「双重确认」——首次通知用户、二次显式批准后才执行卸载/禁用;安装流程同样引入 guarded_skill_install.mjs 预审,匹配公告则退出并等待 --confirm-advisory 复执行。
4. OpenClaw 自动化集成:通过 setup_advisory_hook.mjs 注册生命周期钩子,在 agent:bootstrap 及 /new 会话时自动扫描;可选 setup_advisory_cron.mjs 实现 6 小时周期巡检。
显著优势
- 官方背书:Prompt Security 直接维护,公钥指纹与发布流程透明可审计,来源可信度 T1。
- 纵深防御:从 feed 拉取、签名验签、哈希比对到用户审批形成完整信任链,无单点妥协风险。
- 灵活抑制:通过
security-audit.json或.clawsec/allowlist.json支持企业级公告豁免,需显式"enabledFor": ["advisory"]门控,避免误配置。 - 动态扩展:运行时从
https://clawsec.prompt.security/skills/index.json发现可选技能,不硬编码,保持 catalog 时效性。
潜在局限与风险
- 供应链依赖:远程 feed 与技能 catalog 均托管于 prompt.security 域名,若域名遭受 DNS 劫持或证书伪造,本地验签成为最后防线;用户需确保首次公钥指纹获取通道安全。
- Cron 与 Hook 权限:自动化脚本以用户 shell 上下文执行,若
INSTALL_ROOT指向可写目录,恶意本地进程可能篡改套件文件。 - 审批疲劳:高频公告场景下,双重确认机制可能引发用户习惯性点击通过,削弱实际防护效果。
- 版本覆盖:
--version省略时采取保守匹配(任意引用技能名的公告即触发拦截),可能导致良性技能因历史 CVE 被误阻。
适合人群
- 使用 OpenClaw 框架的企业/个人开发者,需系统性安全监控与合规审计能力。
- 对供应链安全有较高要求、愿意承担手动公钥指纹验证成本的安全团队。
- 运行多技能组合、需集中化公告抑制与响应编排的复杂部署场景。
常规风险提示
- 密钥管理:
skill.json被强制设为 600 权限,但用户需自行确保~/.openclaw父目录非全局可写。 - 网络隔离:若部署环境无外网,需预先同步本地种子文件并理解 fallback 行为差异。
- 状态一致性:迁移自独立
clawsec-feed时,务必保留单一 state file 路径,防止重复通知。 - 评分误用:
exploitability_score为辅助决策字段,不应替代人工风险评估。