Security Monitor

🛡️ 实时守护·威胁感知·零配置上线

Clawdbot专属实时入侵检测系统,监控API异常、凭据泄露与暴力破解攻击,零依赖后台守护运行

收藏
17.5k
安装
6.8k
版本
1.0.0
CLS 安全性认证2026-06-03
点击查看完整报告 >

使用说明

核心用法

security-monitor 是一款专为 Clawdbot 部署环境设计的实时安全监控 skill。通过运行后台守护进程,持续检测五类关键威胁:暴力破解攻击(基于失败登录计数)、端口扫描(快速连接尝试识别)、进程异常(非预期进程启动)、文件篡改(未授权修改监控)以及容器健康状态(Docker 异常)。

启动监控仅需一行命令:node skills/security-monitor/scripts/monitor.cjs --interval 60,支持 --daemon 后台模式与 PM2/systemd 集成。威胁类型可通过 --threats 参数按需筛选,输出覆盖控制台、JSON 日志文件及可选 Telegram 告警。

显著优点

  • 零外部依赖:纯 Node.js 实现,无需额外安装监控代理或数据库
  • 轻量级守护:60 秒默认轮询间隔,资源占用极低,适合边缘部署
  • 多通道告警:本地日志 + 即时通讯推送,兼顾审计追溯与实时响应
  • 模块化威胁检测:可独立启用凭据、端口、API 调用等监控维度
  • 与审计 skill 协同security-audit 完成基线扫描后,本 skill 承接持续监控,形成完整安全闭环

潜在局限

  • 检测深度有限:基于规则匹配(失败次数阈值、连接速率),对零日攻击、APT 慢速渗透无行为分析能力
  • 无自动阻断:仅生成告警,不包含防火墙联动或自动封禁 IP 的响应机制
  • 单点部署:日志集中存储于本地 /root/clawd/clawdbot-security/logs/,无内置高可用或远程聚合方案
  • 依赖主机安全:Node.js 进程本身若被入侵,监控可被轻易终止或篡改

适合人群

个人开发者、小型 Clawdbot 部署运维者,以及需要快速搭建基础安全可见性、但缺乏专业 SOC 资源的团队。特别适用于已运行 security-audit 并希望补全持续监控能力的场景。

常规风险

  • 告警疲劳:默认阈值可能产生大量误报,需根据实际流量调优 --interval 与威胁参数
  • 日志泄露:JSON 日志包含潜在敏感信息(IP、API 调用详情),需确保目录权限与备份策略
  • Telegram 配置风险:Webhook/Token 若硬编码于配置,存在泄露后遭反向利用的可能
  • 单节点故障:无冗余设计,主机宕机即丧失监控能力,关键生产环境需额外部署独立 SIEM

安全解读

核心用法

security-monitor 是专为 Clawdbot 设计的持续安全监控方案,通过 Node.js 内置模块实现无依赖运行。核心指令支持三种模式:实时监控(--interval 60 指定 60 秒轮询)、后台守护(--daemon 配合 PM2/systemd)、以及定向威胁检测(--threats=credentials,ports,api-calls)。监控覆盖五大威胁维度:暴力破解(失败登录追踪 + IP 标记)、端口扫描(高频连接检测)、进程异常、文件篡改、容器健康状态。

显著优点

  • 零依赖攻击面:仅使用 Node.js 原生模块(fs/path/child_process),无第三方 npm 包,供应链攻击风险趋近于零
  • 功能闭环设计:可与 security-audit 组合使用,实现「先审计、后监控」的完整安全运维流程
  • 轻量可运维:309 行代码、3 个文件,资源占用低,适合边缘部署
  • 多通道告警:支持控制台输出、JSON 日志(/root/clawd/clawdbot-security/logs/alerts.log)及 Telegram 集成(待完善)

潜在局限

  • T3 来源可信度:个人开发者维护(kn76hg853dr5yzqyhbhk70hagh7zz7fd),无企业背书,长期维护稳定性存疑
  • Telegram 告警未完成:代码中标记 TODO,生产环境需自行补全
  • 系统命令注入风险:使用 execSync 执行 tail/ss/ps/docker 等硬编码命令,虽当前无用户输入注入,但架构上存在潜在风险
  • 敏感文件读取:需访问 /var/log/auth.log.env 等系统级路径,对运行权限要求较高

适合人群

  • 已部署 Clawdbot 的中小技术团队,需要轻量级、无额外依赖的实时监控方案
  • 具备 Linux 运维能力、能自主配置 PM2/systemd 和 Telegram Bot Token 的开发者
  • 对供应链安全极度敏感、希望剔除第三方依赖的保守型架构

常规风险

  • 权限过高风险:监控功能需 root 或 clawd 用户权限读取系统日志,一旦进程被劫持,攻击者可获取敏感系统信息
  • 日志文件膨胀:未配置日志轮转,长期运行可能导致磁盘空间不足
  • 误报噪音:进程/端口检测阈值未在文档中明确,可能因正常业务波动产生告警疲劳

Security Monitor 内容

scripts文件夹
手动下载zip · 4.1 kB
monitor.cjstext/plain
请选择文件