clawsec-suite

核心用法

ClawSec Suite是Prompt Security官方推出的OpenClaw安全管理中心，集成五大核心能力：实时安全公告监控、加密签名验证、审批门控式恶意技能响应、可选安全技能安装引导，以及完整的OpenClaw自动化钩子集成。

安装支持两种方式：通过clawhub一键安装（推荐），或手动下载配合严格的签名+校验和验证流程。后者要求验证发布公钥指纹（SHA-256: 711424e4535f84093fefb024cd1ca4ec87439e53907b305b79a631d5befba9c8）、校验清单签名及归档文件哈希，确保供应链完整。

启用后，suite通过setup_advisory_hook.mjs在OpenClaw生命周期事件（bootstrap、/new）自动触发安全扫描，对比本地已安装技能与公告中的affected列表；可选cron每6小时周期性检查。发现匹配时，按严重等级（critical/high/medium/low）分级告警，并强制执行双重确认：首次安装请求视为意图声明，若检测到相关安全公告，必须获取用户显式二次确认后才可继续。

动态技能目录发现机制避免硬编码依赖，运行时从https://clawsec.prompt.security/skills/index.json获取最新可安装技能列表，网络不可达时优雅降级至本地元数据。

显著优点

• fail-closed设计：默认要求签名验证，未通过验证的流程主动终止而非继续
• 双重确认门控：恶意/高风险技能安装需两次独立用户确认，显著降低社会工程攻击成功率
• 供应链完整性：从公钥指纹、签名、校验和到文件内容的三层验证链条
• 动态威胁情报：实时拉取ClawSec安全公告流，本地状态追踪避免重复通知
• 非破坏性默认：钩子与心跳仅告警和引导，不自动删除或禁用技能，尊重用户最终控制权
• OpenClaw原生集成：深度嵌入agent生命周期，零额外配置即可生效

潜在局限

• 中心化依赖：公告源、技能目录、签名公钥均托管于clawsec.prompt.security，单点故障或供应链接管风险
• 手动密钥管理：首次使用需离带验证公钥指纹，普通用户可能跳过或执行不当
• cron门槛：周期性检查需要用户主动配置，非技术用户可能遗漏
• 状态文件竞态：~/.openclaw/clawsec-suite-feed-state.json的并发访问未明确加锁机制
• 迁移窗口风险：CLAWSEC_ALLOW_UNSIGNED_FEED绕过选项若被长期启用，将完全抵消签名保护价值

适合人群

• 使用OpenClaw/Claude Code等AI编程工具的开发者与团队
• 对供应链安全有明确认知，愿意执行手动验证步骤的技术用户
• 企业安全团队寻求AI工具链的集中化安全治理方案
• 需要符合审计要求的组织（完整日志、显式审批痕迹）

常规风险

| 风险场景 | 缓解措施 |

|---------|---------|

| 公告源被篡改或DNS劫持 | 签名验证失效时流程终止，需`CLAWSEC_ALLOW_UNSIGNED_FEED=1`才能继续 |

| 发布私钥泄露 | 公钥指纹需离带确认，发现异常可及时轮换 |

| 用户疲劳点击确认 | 双重确认机制增加攻击成本，critical级别建议配套人工复盘 |

| 本地状态文件损坏 | 重建后可能重复接收历史公告通知，无数据丢失风险 |

| 技能目录投毒 | 动态发现仅提供列表，实际安装仍走guarded_install.mjs检查流程 |

核心用法

clawsec-suite 是专为 OpenClaw 生态设计的安全套件管理器，采用「监控-验证-响应」三层防护架构：

1. 实时威胁监控：自动轮询 ClawSec 安全公告 Feed，检测新发布的安全通告并与本地已安装 Skill 交叉比对
2. 密码学验证：对 Feed 和安装包实施 Ed25519 签名验证 + SHA-256 校验和双重校验，默认拒绝未签名内容
3. 双重确认安装：检测到恶意 Skill 风险时，强制要求用户显式二次确认，防止自动化误操作

关键工作流：

• setup_advisory_hook.mjs：注入 OpenClaw Hook，在会话启动和 /new 命令时自动扫描
• guarded_skill_install.mjs：带风险预审的安装器，发现 advisory 匹配时退出并等待 --confirm-advisory
• discover_skill_catalog.mjs：动态发现可安装的安全增强 Skill

显著优点

| 维度 | 表现 |

|------|------|

供应链安全 | 零第三方依赖，仅用 Node.js 内置模块，消除依赖投毒风险 |
零信任架构 | Feed 签名强制验证、公钥指纹预置、失败即关闭(fail-closed)设计 |
用户可控 | 所有响应动作需显式二次确认，非破坏性默认行为 |
可信来源 | 由 Prompt Security 安全研究团队维护，T2 可信级别认证 |
生产就绪 | 通过六维安全检测(静态/动态/依赖/网络/隐私/威胁情报)，获 A 级评级 |

潜在局限

• 网络依赖：核心功能依赖 clawsec.prompt.security 域名可用性，离线场景需依赖本地 seed feed
• Node.js 环境：需 Node.js 运行时支持，纯容器/边缘环境需额外配置
• 手动密钥管理：首次使用需人工验证公钥指纹(711424e4...)，无自动化信任锚
• 覆盖范围：仅监控 ClawSec Feed 覆盖的 Skill，第三方 Skill 无强制审计

适合人群

• 企业级 OpenClaw/Claude Code 用户，需满足合规审计要求
• 安全敏感场景（处理商业机密、个人隐私数据）
• 多团队协作环境，需统一安全基线管理
• 对 AI Agent 供应链攻击有防护意识的高级用户

常规风险

| 风险 | 说明 | 缓解措施 |

|------|------|---------|

Feed 篡改 | 攻击者控制 DNS 或 CDN 推送恶意 Feed | TLS 1.3 + 签名验证 + 指纹锁定 |
密钥泄露 | 发布签名私钥被盗用 | 定期轮换公钥，用户需手动验证指纹 |
误报阻断 | 合法 Skill 被错误标记 | 双重确认机制保留人工裁决权 |
状态文件损坏 | feed-state.json 丢失导致重复告警 | 建议定期备份 |
配置漂移 | CLAWSEC_ALLOW_UNSIGNED_FEED=1 长期开启 | 默认关闭，文档强调临时用途 |