核心用法
Clawdbot Self-Security Audit 是一套面向 AI Agent 运行时的知识型安全自检框架,通过读取本地配置文件(~/.clawdbot/clawdbot.json 等)执行 13 个安全域的只读审计。用户可通过自然语言指令(如 "run security check"、"audit clawdbot")触发,或使用结构化命令:
clawdbot security audit— 标准快速扫描clawdbot security audit --deep— 全量深度检查clawdbot security audit --fix— 自动应用安全加固(权限收紧、策略修正)
13 大安全域覆盖
| 优先级 | 域 | 关键检查点 |
|:---|:---|:---|
| 🔴 Critical | Gateway 暴露、凭证安全 | bind 地址、auth_token、文件权限 600 |
| 🟠 High | DM/群组策略、浏览器控制、网络绑定 | allowlist、gated mentions、HTTPS token |
| 🟡 Medium | 工具沙箱、日志脱敏、提示注入防护、危险命令拦截 | sandbox、redactSensitive、wrap_untrusted |
显著优点
- 零信任设计:默认假设网络不可信,强制最小权限原则
- 动态可扩展:新增检查只需在 SKILL.md 追加知识,无需改代码
- actionable 输出:每处风险附带具体修复命令与配置片段
- 模型安全导向:针对 AI Agent 特有风险(提示注入、工具滥用)专项防护
潜在局限
- 依赖本地文件访问:若 Clawdbot 无
read权限或配置路径非标准,检测可能遗漏 - 非实时防护:属于审计型(detective)而非阻断型(preventive)控制
- 修复自动化边界:
--fix仅处理低风险项(权限、日志策略),网络暴露等需人工确认 - 生态锁定:专为 Clawdbot 配置格式设计,无法直接用于其他 AI Agent 框架
适合人群
- Clawdbot 自托管用户:尤其是暴露于公网或拥有浏览器/Shell 工具权限的实例
- AI Agent 安全研究员:学习 AI 运行时的攻击面建模与防护策略
- 企业合规运维:需定期生成安全基线报告的场景
常规风险
- 误报风险:某些"宽松"配置可能是业务必需(如开发环境 open DM),需结合上下文判断
- 凭证残留:审计过程读取敏感配置文件,虽为只读但需确保日志不二次泄露(依赖
redactSensitive配置本身) - 技能滥用:攻击者若获取 Clawdbot 控制权,可能利用此技能反向探测系统弱点