clawsec-suite

🛡️ 官方签名验证的威胁情报与审批安全中心

security榜 #12

ClawSec官方安全套件,提供签名验证的威胁情报监控与审批控制的恶意技能响应机制,确保OpenClaw生态安全。

收藏
33k
安装
8.4k
版本
0.1.2
CLS 安全性认证2026-07-03
点击查看完整报告 >

使用说明

核心功能

clawsec-suite 是 ClawSec 官方推出的安全管理中心,专为 OpenClaw AI 代理生态设计。其核心能力围绕三大支柱构建:

1. 威胁情报实时监控

  • 持续轮询 ClawSec 官方安全公告源(https://clawsec.prompt.security/advisories/feed.json
  • 支持 Ed25519 签名验证的 fail-closed 机制,拒绝未签名或签名失效的 feed
  • 本地状态持久化,智能识别新增公告避免重复告警
  • 内置心跳工作流(HEARTBEAT.md)统一处理更新检查、feed 轮询、影响范围交叉验证

2. 审批控制的恶意技能响应

  • 自动比对已安装技能与公告中的 affected 字段
  • 发现匹配时立即通知用户并提供严重性评级
  • 采用「双确认」设计:首次安装请求仅为意图表达,若存在安全公告匹配,需用户明确二次确认后方可继续
  • 默认非破坏性策略,禁止自动删除或禁用技能

3. 加密签名验证体系

  • 发布包附带 SHA-256 校验和清单与 Ed25519 分离签名
  • 提供指纹固定的公钥(711424e4...befba9c8),支持首次使用时 out-of-band 验证
  • 校验逻辑:公钥指纹 → 校验和清单签名 → 压缩包哈希,三层验证链

显著优势

  • 来源权威性:Prompt Security 官方背书,公钥指纹透明可审计
  • 纵深防御:签名验证、状态追踪、双确认审批三层防护
  • 自动化就绪:OpenClaw hook 包支持 agent:bootstrap/new 事件自动扫描,可选 cron 定时任务
  • 灵活抑制:通过共享配置文件支持安全团队审核后的公告白名单
  • 动态发现:运行时从权威索引拉取可安装技能目录,避免硬编码过时信息

局限性与注意事项

  • 依赖外部网络:首次安装和 feed 更新需访问 clawsec.prompt.security,离线场景依赖本地种子文件
  • 手动密钥管理:公钥指纹需用户首次 out-of-band 验证,无内置自动更新机制
  • OpenClaw 绑定:hook 和 cron 自动化需 OpenClaw 网关支持,纯 CLI 使用需手动触发脚本
  • 抑制功能需显式启用enabledFor 配置为 opt-in,默认全部报告以确保安全可见性

适合人群

  • 使用 OpenClaw 框架部署 AI 代理的企业安全团队
  • 需要自动化威胁情报消费与合规审批工作流的组织
  • 对供应链安全有较高要求、重视加密验证与审计追踪的技术决策者

常规风险

  • 供应链攻击:若首次公钥验证被绕过,攻击者可伪造签名推送恶意更新
  • 审批疲劳:高频率安全公告可能导致用户对「二次确认」产生惯性点击
  • 配置漂移CLAWSEC_ALLOW_UNSIGNED_FEED=1 临时绕过后若未恢复,将永久削弱验证
  • 状态文件冲突:从独立 clawsec-feed 迁移时若未统一状态文件路径,可能导致重复通知

安全解读

核心用法

clawsec-suite 是 ClawSec 官方发布的 OpenClaw 安全套件管理器,采用防御性架构设计,主要承担四大职能:

1. 实时咨询监控:轮询 clawsec.prompt.security 官方咨询源,检测新发布的安全公告(CVE/CLAW编号),自动比对本地已安装 Skill 清单。
2. 签名验证体系:全流程 Ed25519 签名 + SHA256 校验和双重验证,涵盖发布包、咨询源、校验清单三类关键文件,默认失效关闭(fail-closed)拒绝任何未签名内容。

3. 门控安装流程:对命中恶意咨询的 Skill 实施双确认机制——首次请求后脚本退出并提示风险,需用户二次显式确认带 --confirm-advisory 参数才继续,杜绝自动化误装。

4. OpenClaw 深度集成:通过 advisory guardian hook 在 agent:bootstrap/new 会话触发点自动扫描,配合可选的 6 小时 cron 定时任务,形成持续监控闭环。

安装方式支持 npx clawhub 一键安装或手动下载 + 指纹验证(硬编码公钥 SHA256: 711424e4535f84093fefb024cd1ca4ec87439e53907b305b79a631d5befba9c8)。套件内置本地咨询源种子文件,网络不可达时自动降级,确保可用性。

显著优点

  • 零依赖运行时:纯 Node.js 内置模块实现,无第三方 npm 依赖,供应链攻击面最小化。
  • 多层信任锚定:TLS 1.2+、域名白名单(clawsec.prompt.security / github.com)、SPKI 指纹硬编码、Ed25519 签名、SHA256 校验和五层防护叠加。
  • 非破坏性设计:咨询匹配时仅通知+请求确认,不自动删除或禁用 Skill,尊重用户最终决策权。
  • 灵活抑制机制:通过 security-audit.json 支持按 checkId + skill 双字段精确抑制特定咨询,适合企业白名单场景。
  • 动态目录发现:运行时拉取远程技能目录,避免硬编码,保持生态扩展性。

潜在局限

  • 中心化依赖:咨询源与技能目录均托管于 clawsec.prompt.security,单点可用性风险;虽本地有回退,但实时性受限。
  • 公钥轮换成本:Ed25519 公钥硬编码于代码,轮换需用户手动更新套件版本,缺乏自动密钥协商机制。
  • CLI 调用耦合:依赖本地 openclaw 二进制执行 hook/cron 管理,若 CLI 版本不兼容可能导致行为异常。
  • 网络超时固化:fetch 超时硬编码 10 秒,高延迟环境可能误报失败。
  • 抑制配置共享风险:audit 与 advisory 共用同一配置文件,若 enabledFor 配置不当可能导致预期外的抑制生效。

适合人群

  • OpenClaw 企业/团队用户:需集中管控 Skill 供应链安全、建立安全咨询响应流程的组织。
  • 安全敏感型个人用户:对第三方 Skill 持审慎态度、希望自动化检测恶意代码的开发者。
  • DevSecOps 工程师:需将 Skill 安装纳入 CI/CD 安全门禁、实现"安装前扫描"的自动化场景。

常规风险

  • 供应链投毒:若攻击者 compromise clawsec.prompt.security 域名或 GitHub Releases,可推送恶意更新;缓解措施为离线验证公钥指纹与签名。
  • 抑制配置滥用:过度使用 suppressions 可能掩盖真实风险,建议配合审计日志定期复核。
  • 环境变量注入CLAWSEC_ALLOW_UNSIGNED_FEED=1 等绕过开关若被恶意设置,将削弱安全基线,需通过环境隔离(如只读 env)防护。
  • 状态文件篡改~/.openclaw/clawsec-suite-feed-state.json 若被篡改可能导致重复通知或漏报,建议文件权限严格限制(已默认 chmod 600)。

clawsec-suite 内容

advisories文件夹
hooks文件夹
clawsec-advisory-guardian文件夹
lib文件夹
scripts文件夹
test文件夹
手动下载zip · 52.0 kB
feed.jsonapplication/json
请选择文件