核心用法
security-monitor 是一款专为 Clawdbot 部署环境设计的实时安全监控 skill。通过运行后台守护进程,持续检测五类关键威胁:暴力破解攻击(基于失败登录计数)、端口扫描(快速连接尝试识别)、进程异常(非预期进程启动)、文件篡改(未授权修改监控)以及容器健康状态(Docker 异常)。
启动监控仅需一行命令:node skills/security-monitor/scripts/monitor.cjs --interval 60,支持 --daemon 后台模式与 PM2/systemd 集成。威胁类型可通过 --threats 参数按需筛选,输出覆盖控制台、JSON 日志文件及可选 Telegram 告警。
显著优点
- 零外部依赖:纯 Node.js 实现,无需额外安装监控代理或数据库
- 轻量级守护:60 秒默认轮询间隔,资源占用极低,适合边缘部署
- 多通道告警:本地日志 + 即时通讯推送,兼顾审计追溯与实时响应
- 模块化威胁检测:可独立启用凭据、端口、API 调用等监控维度
- 与审计 skill 协同:
security-audit完成基线扫描后,本 skill 承接持续监控,形成完整安全闭环
潜在局限
- 检测深度有限:基于规则匹配(失败次数阈值、连接速率),对零日攻击、APT 慢速渗透无行为分析能力
- 无自动阻断:仅生成告警,不包含防火墙联动或自动封禁 IP 的响应机制
- 单点部署:日志集中存储于本地
/root/clawd/clawdbot-security/logs/,无内置高可用或远程聚合方案 - 依赖主机安全:Node.js 进程本身若被入侵,监控可被轻易终止或篡改
适合人群
个人开发者、小型 Clawdbot 部署运维者,以及需要快速搭建基础安全可见性、但缺乏专业 SOC 资源的团队。特别适用于已运行 security-audit 并希望补全持续监控能力的场景。
常规风险
- 告警疲劳:默认阈值可能产生大量误报,需根据实际流量调优
--interval与威胁参数 - 日志泄露:JSON 日志包含潜在敏感信息(IP、API 调用详情),需确保目录权限与备份策略
- Telegram 配置风险:Webhook/Token 若硬编码于配置,存在泄露后遭反向利用的可能
- 单节点故障:无冗余设计,主机宕机即丧失监控能力,关键生产环境需额外部署独立 SIEM