OpenClaw 安全加固检查工具
OpenClaw 安全加固检查工具
给你的 AI Agent 上一把锁
从 Prompt 注入到供应链投毒,全方位防护
今天给大家推荐一套刚在 GitHub 上开源的 OpenClaw 安全加固检查工具集。如果你正在用 OpenClaw 部署 AI Agent,或者计划把 Agent 投入生产环境,这篇文章你一定要看完。
OpenClaw 这玩意儿有多猛?它能读你的邮件、执行 Shell 命令、浏览网页、管理文件,甚至能直接操作浏览器。这种级别的系统权限,一旦中招,后果可不是”弹个广告”那么简单——是整台服务器被接管。而这套加固工具,就是专门来给这头”猛兽”套缰绳的。

▲ OpenClaw 作为高权限 AI Agent,一旦被攻破后果严重
🎯 为什么 AI Agent 安全这么重要?
先给大家看一组数据,看完你就知道我不是在危言耸听:
- ClawHavoc 事件:
ClawHub 上曾发现 341 个恶意 Skill,部分包含数据窃取、凭证收割甚至勒索软件部署功能。 - Snyk 审计报告:
ClawHub 上 47% 的 Skill 至少存在一个安全问题。 - CVE-2026-25253:
安全公司 Ethiack 发现 OpenClaw 存在严重的 1-click RCE 漏洞,攻击者只需让受害者点击一个恶意链接,就能通过未验证的 WebSocket 连接窃取 Gateway Token。
这些威胁不是”未来可能发生的”,而是已经发生的。OpenClaw 的设计初衷是”个人助理”——一个受信任的操作者边界。但问题是,很多人把它当成普通聊天应用来部署,完全忽略了它本质上是一个拥有系统级权限的本地服务。
⚠️ 核心风险:当 OpenClaw 被当作简单聊天应用而非特权本地服务时,传统端点控制手段很难解释 Agent 行为、工具链调用和对话式执行路径。一旦 Agent 被攻破,它不仅是本地漏洞,还可能成为进入客户端租户、云控制台和敏感数据流的跳板。
🔍 威胁模型:你的 Agent 面临哪些攻击?
这套加固工具针对的威胁模型非常清晰,覆盖了 AI Agent 最常见的五大攻击面:
|
|
|
|
|---|---|---|
| Prompt 注入 |
|
Critical |
| 数据外泄 |
|
Critical |
| Skill 篡改 |
|
High |
| 工作空间暴露 |
|
High |
| 供应链投毒 |
|
High |

▲ Prompt 注入攻击:恶意指令嵌入正常输入,劫持 AI Agent 行为
🛠️ 五大核心工具详解
这套工具集包含五个脚本,每个都针对特定的攻击面。咱们一个一个来盘:
1. scan-skills.sh — Skill 文件扫描器
这是你的第一道防线。它会扫描所有已安装的 Skill 文件,检测恶意模式,包括:
-
Prompt 注入模式(覆盖指令、新系统提示、管理员覆盖) -
数据外泄(curl/wget 到外部 URL、发送文件内容) -
可疑 URL(webhook、pastebin、requestbin、ngrok 等) -
Base64 编码内容(可能隐藏恶意指令) -
隐藏 Unicode 字符(零宽空格、RTL 覆盖、同形异义字) -
敏感文件引用(.env、凭证、API Key、Token) -
社会工程学话术(”不要告诉用户”、”秘密地”、”不要提及”)
# 扫描所有 Skill 目录
./scripts/scan-skills.sh
# 扫描指定目录
./scripts/scan-skills.sh --path /path/to/skills/
# JSON 输出(方便自动化)
./scripts/scan-skills.sh --json
扫描结果按严重程度分级:CRITICAL(极可能恶意,需立即处理)、WARNING(可疑,需人工审查)、INFO(值得关注但大概率无害)。
2. integrity-check.sh — Skill 完整性监控
扫描器只能发现已知的恶意模式,但如果一个 Skill 在通过审查后被悄悄修改呢?这就是 integrity-check 的作用——它创建所有 Skill 文件的 SHA256 哈希基线,后续运行时会检测任何未授权修改。
# 初始化基线(首次运行)
./scripts/integrity-check.sh --init
# 检查变更(建议每日运行)
./scripts/integrity-check.sh
# 更新基线(审查完变更后)
./scripts/integrity-check.sh --update
报告包含四类状态:✅ 未变更、⚠️ 已修改(哈希不匹配)、🆕 新增文件、❌ 已删除。建议加到 cron 或 HEARTBEAT.md 里每日自动跑。
3. audit-outbound.sh — 出站数据流审计
这个工具专门盯着数据外泄。它会扫描 Skill 文件中的出站通信模式:
-
嵌入在 Skill 指令中的 HTTP/HTTPS URL -
curl、wget、fetch、web_fetch、browser_navigate 等引用 -
发送邮件/消息/Webhook 的指令 -
指令中的原始 IP 地址 -
非白名单的外部域名
# 审计所有 Skill
./scripts/audit-outbound.sh
# 查看白名单域名
./scripts/audit-outbound.sh --show-whitelist
# 添加域名到白名单
./scripts/audit-outbound.sh --whitelist example.com
4. harden-workspace.sh — 工作空间加固器
这个工具检查并修复 OpenClaw 工作空间中的常见安全配置错误:
-
敏感文件权限(MEMORY.md、USER.md、SOUL.md、凭证文件) -
.gitignore 对敏感模式的覆盖情况 -
Gateway 认证配置 -
DM 策略设置 -
版本控制文件中的敏感内容
# 仅检查(报告问题)
./scripts/harden-workspace.sh
# 自动修复安全的问题
./scripts/harden-workspace.sh --fix
5. install-guard.sh — 安装前安全门
这是最后一道关卡。在安装任何新 Skill 之前,先跑一遍这个脚本:
# 安装前检查
./scripts/install-guard.sh /path/to/new-skill/
# 严格模式(警告也阻断)
./scripts/install-guard.sh --strict /path/to/new-skill/
它会执行 scan-skills 的所有检测,外加危险 Shell 模式检查(rm -rf、curl|bash、eval 等)、可疑 npm 依赖审查。退出码 0 = 安全,1 = 可疑(可直接接入 CI/CD 自动化)。

▲ AI 系统安全加固的分层防御架构:从治理到沙箱的全栈防护
📋 配置安全审计:7 大维度评分
除了脚本工具,这套工具集还包含一个配置安全审计模块,对 openclaw.json 进行 7 项安全维度评分,输出总安全评分并提供三档加固方案:
|
|
|
|
|
|---|---|---|---|
|
|
|
Critical |
|
|
|
|
Critical |
|
|
|
|
High |
|
|
|
|
High |
|
|
|
|
Medium |
|
|
|
|
Medium |
|
|
|
|
High |
|
审计完成后,你可以选择三档加固方案:
- 基础方案(~5 分钟):
修复最高风险项(DM 策略、Gateway Auth、文件权限) - 标准方案(~10 分钟):
基础 + 群聊保护 + 沙箱 + 按角色分配工具权限 - 严格方案(~15 分钟):
标准 + 全面沙箱化 + 最小权限 + Gateway loopback

▲ 安全审计的六大类型:合规、风险评估、配置审计、渗透测试等
🚀 快速上手:三步完成加固
整个流程非常简单,三步就能让你的 OpenClaw 从”裸奔”变”全副武装”:
1
初始扫描:运行 scan-skills.sh 审计现有 Skill,运行 audit-outbound.sh 检查出站数据流,运行 integrity-check.sh --init 建立完整性基线,运行 harden-workspace.sh --fix 自动修复工作空间问题。
2
添加安全规则:将 assets/security-rules-tem)plate.md 的内容追加到 AGENTS.md,为 Agent 添加运行时安全规则,拒绝 Prompt 注入尝试并保护敏感数据。
3
持续监控:将 integrity-check.sh 和 scan-skills.sh 加入 cron 或 HEARTBEAT.md,每日自动运行。安装新 Skill 前务必先跑 install-guard.sh。
🔐 生产环境加固 Top 10
如果你要把 OpenClaw 投入生产,以下十条是最低安全基线,缺一不可:
- 定期运行安全审计:
openclaw security audit --deep --fix
,每次升级后必跑。 - Gateway 绑定 Loopback:
除非专门提供 WAN 服务,否则 Gateway 必须只监听 localhost(127.0.0.1)。远程访问走 VPN 或加密隧道。 - 启用 Token 认证:
把 Token 当成 Domain Admin 密码来保护,不要硬编码在部署脚本里,用秘密管理器或环境变量注入。 - 最小化工具权限:
移除不需要的工具。Host 执行应该是例外,不是默认。 - Skill 白名单:
生产环境对外部 Skill 默认拒绝。建立审查流程、扫描、版本锁定、内部 Registry/Mirror。 - 配置沙箱:
在 “All” 级别配置沙箱,确保每个工具调用都在隔离的 Docker 容器中运行。 - 敏感数据脱敏:
开启邮箱、SSN、信用卡号脱敏,启用 Prompt 注入检测。 - 文件权限锁定:
chmod 600 ~/.openclaw/*.json
,确保只有所有者能读写敏感凭证。 - 防火墙策略:
UFW 默认拒绝入站,仅允许 SSH(22 端口)。 - 日志与审计:
记录每一次工具调用和权限变更,将 Agent 视为关键生产服务。
▲ AI 运行时安全监控:实时检测数据泄露、Prompt 注入等异常行为
📊 与其他安全工具对比
这套工具不是孤军奋战,OpenClaw 生态里还有几个互补的安全产品:
|
|
|
|
|
|---|---|---|---|
| 本工具集 |
|
|
开源免费 |
|
|
|
|
开源免费 |
|
|
|
|
免费工具 |
|
|
|
|
|
|
|
|
|
开源免费 |
📝 写在最后
OpenClaw 很强大,但权力越大,责任越大。它不是一个普通的聊天机器人,而是一个拥有系统级访问权限的 AI Agent。如果你把它当成 Slack 来部署,那出事儿只是时间问题。
这套安全加固检查工具集的价值在于——它把抽象的安全建议变成了可执行的脚本和可量化的评分。你不需要是安全专家,跑几条命令就能知道自己的 Agent 哪里有问题,该修什么。
📌 项目地址:GitHub cain66666/openclaw-hardening-check(开源免费,欢迎 Star 和 PR)
适用平台:Linux(全功能)、macOS(全功能)、Windows(部分功能,文件权限自动化不可用)
安全不是可选项,而是 AI Agent 生产部署的前提条件。希望这套工具能帮到你。
夜雨聆风