Install
openclaw skills install sec-auditsec-audit
对 OpenClaw 部署进行只读安全审计,检测环境泄露、认证配置、恶意 Skill 等已知风险和漏洞。
OpenClaw Security Audit Skill
用途:对 OpenClaw 部署进行安全配置审计,检测已知漏洞和安全隐患
版本:1.0.0
作者:Security Team
风险等级:安全审计工具(仅读取和检测,不修改任何配置)
功能概述
本 Skill 是一个安全审计工具,可检测 OpenClaw 部署中的以下安全问题:
检测覆盖范围
| 检测项 | 对应漏洞编号 | 描述 |
|---|---|---|
| 环境变量泄露检测 | SYS-002, OC-008 | 检查 process.env 是否暴露敏感 API Key |
| 明文凭据存储检测 | SYS-005, ECO-012 | 检查 auth-profiles.json 等文件是否明文存储凭据 |
| 网关认证配置检测 | SYS-006, ECO-024 | 检查 Gateway 是否启用了认证 |
| 网关绑定地址检测 | SYS-006 | 检查 Gateway 是否绑定到 0.0.0.0 |
| 沙箱配置检测 | ECO-009, OC-001 | 检查沙箱是否正确启用 |
| 速率限制检测 | SYS-007, OC-011 | 检查是否配置速率限制 |
| 恶意 Skill 扫描 | ClawHavoc | 扫描已安装 Skill 是否匹配已知恶意名单 |
| IOC 指标检测 | ClawHavoc IOC | 检测已知恶意 IP、域名、文件哈希 |
| SKILL.md 恶意内容检测 | ECO-015 | 扫描所有已安装 Skill 的 SKILL.md 是否含可疑命令 |
| Base64 编码命令检测 | OC-009 | 检测 SKILL.md 中隐藏的 Base64 编码命令 |
| 进程隔离验证 | SYS-001 | 验证是否存在进程隔离机制 |
| WebSocket 加密检测 | ECO-006 | 检查 WebSocket 通信是否使用 wss:// |
| DM/Group 策略检测 | 认证/授权 | 检查频道安全策略配置 |
| 审计日志检测 | SYS-004 | 检查是否启用安全审计日志 |
| 已知恶意攻击者检测 | ClawHavoc | 比对已安装 Skill 的作者信息 |
使用方式
运行安全审计:
node tools/security-audit.js
运行完整审计并输出 JSON 报告:
node tools/security-audit.js --format json --output audit-report.json
仅运行特定检测模块:
node tools/security-audit.js --module env,auth,skills,ioc
输出说明
- 🔴 CRITICAL — 严重安全问题,需立即修复
- 🟠 HIGH — 高危问题,建议 48 小时内修复
- 🟡 MEDIUM — 中危问题,建议 1 周内修复
- 🟢 LOW/PASS — 低危或检测通过
注意事项
- 本工具仅进行只读检测,不会修改任何系统配置
- 所有检测结果仅保存在本地,不会外传任何数据
- 建议在测试环境中首先运行,确认无误后再在生产环境使用