核心功能
Clawdbot 自我安全审计框架是一套知识型技能,赋予 Clawdbot 通过第一性原理推理审计自身安全态势的能力。不同于静态脚本,该框架嵌入安全知识,使 Clawdbot 能够动态识别配置漏洞、理解影响范围并给出具体修复方案。
审计范围(10大安全域)
| 领域 | 严重性 | 检测重点 |
|:---|:---|:---|
| 网关暴露 | 🔴 Critical | `gateway.bind_address` 是否绑定 0.0.0.0、是否配置 `CLAWDBOT_AUTH_TOKEN` |
| 凭证安全 | 🔴 Critical | `~/.clawdbot/oauth.json` 文件权限是否为 600、环境变量是否泄露敏感信息 |
| DM 策略 | 🟠 High | `dm_policy` 是否为 `allow`/`all`、是否启用 `allowlist` 白名单 |
| 沙箱隔离 | 🟠 High | `sandbox` 是否启用为 `all`、Docker network 是否隔离为 `none` |
| 危险命令拦截 | 🟠 High | `blocked_commands` 是否包含 `rm -rf`、`curl \|`、`git push --force`、fork 炸弹等 |
| 提示注入防护 | 🟡 Medium | `wrap_untrusted_content` 是否启用、外部内容是否被标记为 `<untrusted>` |
| 网络隔离 | 🟡 Medium | Docker 容器是否使用默认 bridge 网络而非隔离网络 |
| 工具权限管控 | 🟡 Medium | `restrict_tools` / `mcp_tools.restrict` 是否启用、敏感工具是否受限 |
| 审计日志 | 🟡 Medium | `audit_logging` 与 `session_logging` 是否启用、日志保留策略 |
| 配对码安全 | 🟡 Medium | `pairing.code_length` 是否 ≥12、是否配置 `rate_limit` 防暴力破解 |
显著优点
- 零修改承诺:纯只读检测,绝不更改任何配置
- 可扩展架构:新增检查只需按模板补充 Domain、Detection、Baseline、Remediation
- 可操作输出:每项发现均附具体配置修改示例与命令
- 第一性原理:嵌入安全推理能力,非简单匹配规则
潜在局限
- 依赖文件访问:需
read权限读取~/.clawdbot/config.json等路径,若 Clawdbot 本身被沙箱限制则可能无法完整审计 - 配置路径硬编码:默认扫描固定路径列表,非标准安装位置可能遗漏
- 无主动渗透测试:仅静态配置审计,不涉及运行时行为监控或模糊测试
- Docker 环境限制:部分检查(如
docker network ls)需 Docker 工具链可用
适合人群
- 自托管 Clawdbot 用户:需确保私有部署安全的个人或团队
- 安全运维工程师:将 Clawdbot 接入生产环境前的基线检查
- 安全意识较强的开发者:定期(建议每月)运行以发现配置漂移
常规风险
- 信息泄露:审计过程可能读取含敏感 token 的配置文件,需确保审计会话本身安全
- 误报/漏报:配置语法解析依赖 grep/JSON 读取,复杂嵌套结构可能解析不完整
- 修复风险:部分修复(如
chmod 600、网络隔离)可能影响已有自动化流程,需测试后应用