clawsec-suite

核心功能

ClawSec Suite 是专为AI安全生态设计的综合管理工具，集成威胁情报监控、加密验证和防护技能编排三大核心能力。

核心用法

1. 威胁情报监控：内置advisories/feed.json种子文件，可轮询远程安全公告源，追踪新出现的恶意技能或漏洞通告
2. 本地风险交叉比对：将公告中的affected字段与已安装技能列表匹配，识别潜在威胁
3. 加密签名验证链：采用Ed25519公钥密码学，对checksums.json及公告源进行双重签名验证，确保供应链完整性
4. 双重确认安装流：guarded_skill_install.mjs脚本实现"请求→警告→二次确认"的安全安装流程，匹配到公告时强制暂停并需用户显式批准
5. OpenClaw自动化集成：通过setup_advisory_hook.mjs注入会话级扫描钩子，在agent:bootstrap和/new事件触发安全检查

显著优点

• Fail-Closed设计：默认要求签名+校验和双重验证，可配置CLAWSEC_ALLOW_UNSIGNED_FEED仅作临时迁移例外
• 非破坏性响应：对恶意技能仅提供移除建议，强制用户二次确认，避免自动化误删
• 供应链安全：公钥指纹35866e1b1479a043ae816899562ac877e879320c3c5660be1e79f06241ca0854支持带外验证，下载脚本包含完整的curl→签名验证→校验和→安装链
• 可扩展架构：openclaw-audit-watchdog、soul-guardian等防护技能可作为可选组件按需加载

潜在局限

• 中心化依赖：公告源默认托管于GitHub，网络隔离环境需手动配置镜像
• 密钥管理挑战：首次使用需用户自行验证公钥指纹，缺乏自动密钥轮换机制
• 误报风险：保守的语义匹配（无版本号时按技能名匹配）可能导致合法技能被误拦截
• 生态锁定：深度集成OpenClaw框架，其他AI运行时需适配层支持

适合人群

• 企业级OpenClaw部署团队
• 对AI供应链安全有合规要求的金融/医疗行业
• 运行大量第三方技能的自动化工作流管理员

常规风险

| 风险类型 | 说明 |

|---------|------|

| 配置漂移 | `CLAWSEC_ALLOW_UNSIGNED_FEED=1`临时设置可能永久化 |

| 社会工程 | 攻击者可能伪造公告源URL诱导用户覆盖配置 |

| 拒绝服务 | 轮询间隔过短（<300秒）可能触发速率限制 |

| 状态不一致 | 多实例部署时`clawsec-suite-feed-state.json`需统一存储 |

安全等级评估依据

• S级：完整加密验证链、显式双重确认、Fail-Closed默认策略、官方维护的透明供应链

ClawSec Suite 综合评估

核心用法

ClawSec Suite 是一款面向 OpenClaw/Claude Code 生态的专业安全监控工具，主要功能包括：

1. 安全咨询订阅 (Advisory Feed) — 持续监控 GitHub 托管的 ClawSec 安全咨询 feed，自动检测新发布的安全公告
2. 本地 Skill 交叉比对 — 扫描已安装的 Skill，识别受安全咨询影响的项目
3. 双重确认安装保护 — 在 Skill 安装流程中插入安全审查，发现风险时强制要求用户二次确认
4. Hook 自动化集成 — 通过 OpenClaw hook 机制，在会话启动 (agent:bootstrap) 和新建 (/new) 时自动触发安全扫描
5. 心跳监控工作流 — 内置 HEARTBEAT.md 规范，支持周期性安全状态检查与更新

主要技术特性：

• 零外部依赖：仅使用 Node.js 内置模块，消除供应链攻击面
• Ed25519 签名验证：所有 feed 和 release 均须通过 pinned public key 验证
• SHA-256 校验和链：从 manifest 到每个文件的完整校验
• TLS 1.2+ 强制加密：网络请求通过 secureFetch 封装，域名白名单限制
• Fail-closed 安全默认：签名或校验失败时默认拒绝操作

显著优点

| 维度 | 表现 |

|------|------|

| **安全架构** | 多层防护（签名+校验+加密+白名单），符合供应链安全最佳实践 |

| **代码质量** | 1,420 行代码，结构清晰，无危险函数，静态分析得分 85 |

| **依赖风险** | 零外部依赖，评分 95/100，完全规避 npm 供应链攻击 |

| **网络通信** | 强制 TLS 1.2+，仅 4 个可信域名，10 秒超时，AbortController 可取消 |

| **权限控制** | 状态文件 600 权限，临时文件原子写入，防止竞态条件 |

| **透明度** | MIT 开源许可，完整安装脚本公开可审计，支持手动验证安装 |

来源可信度 T2（可信组织）：维护方 prompt-security 为专注 AI 安全的专业团队，具备官方网站 (clawsec.prompt.security) 和 GitHub 组织账号。

潜在局限与风险

局限性

1. 生态依赖性：专为 OpenClaw/Claude Code 设计，其他 AI 编程工具链需适配
2. 手动安装复杂度：签名验证安装流程对非技术用户门槛较高
3. 咨询覆盖范围：依赖 ClawSec 项目维护的安全咨询数据库，新兴威胁可能存在滞后
4. Hook 配置要求：自动化监控需要用户主动运行 setup 脚本并重启 gateway

常规风险

• 密钥管理：Ed25519 签名密钥需定期轮换（当前建议 6-12 个月），用户需关注密钥更新公告
• 网络可用性：Feed 托管于 GitHub，部分地区访问可能受限
• 误报可能：保守的版本匹配策略可能导致正常 Skill 被标记需二次确认

残留低危风险（已缓解）

• RISK-001 spawnSync 外部命令执行：用于调用 npx clawhub 和 openclaw，参数严格校验，无注入风险
• RISK-002 远程 Feed 获取：多层防护已实施，建议未来添加响应大小限制（如 10MB）

适合人群

| 用户类型 | 适用场景 |

|----------|----------|

| **企业安全团队** | 需要为组织内 AI 编程工具链建立统一安全基线 |

| **个人高级用户** | 频繁安装第三方 Skill，希望获得主动安全监控 |

| **开源项目维护者** | 需要验证自身 Skill 是否被标记为恶意或有漏洞 |

| **合规敏感环境** | 需要可审计的安装流程和加密验证机制 |

安全等级：S（优秀）

认证评分 80/100，达到优秀安全级别。该 Skill 是少有的将安全设计作为核心而非附加功能的工具，从架构层面实现了供应链完整性保护。

---

使用建议：

• 首次安装建议采用 Manual download 方式，完成签名指纹的 out-of-band 验证
• 生产环境启用 hook + cron 组合，设置 CLAWSEC_HOOK_INTERVAL_SECONDS 控制轮询频率（建议 ≥300 秒）
• 切勿长期启用 CLAWSEC_ALLOW_UNSIGNED_FEED，仅在迁移窗口临时使用