乐于分享
好东西不私藏

OpenClaw 安全加固检查工具

OpenClaw 安全加固检查工具

OpenClaw 安全加固检查工具

给你的 AI Agent 上一把锁

从 Prompt 注入到供应链投毒,全方位防护

今天给大家推荐一套刚在 GitHub 上开源的 OpenClaw 安全加固检查工具集。如果你正在用 OpenClaw 部署 AI Agent,或者计划把 Agent 投入生产环境,这篇文章你一定要看完。

OpenClaw 这玩意儿有多猛?它能读你的邮件、执行 Shell 命令、浏览网页、管理文件,甚至能直接操作浏览器。这种级别的系统权限,一旦中招,后果可不是”弹个广告”那么简单——是整台服务器被接管。而这套加固工具,就是专门来给这头”猛兽”套缰绳的。

▲ OpenClaw 作为高权限 AI Agent,一旦被攻破后果严重

🎯 为什么 AI Agent 安全这么重要?

先给大家看一组数据,看完你就知道我不是在危言耸听:

  • ClawHavoc 事件:
    ClawHub 上曾发现 341 个恶意 Skill,部分包含数据窃取、凭证收割甚至勒索软件部署功能。
  • Snyk 审计报告:
    ClawHub 上 47% 的 Skill 至少存在一个安全问题。
  • CVE-2026-25253:
    安全公司 Ethiack 发现 OpenClaw 存在严重的 1-click RCE 漏洞,攻击者只需让受害者点击一个恶意链接,就能通过未验证的 WebSocket 连接窃取 Gateway Token。

这些威胁不是”未来可能发生的”,而是已经发生的。OpenClaw 的设计初衷是”个人助理”——一个受信任的操作者边界。但问题是,很多人把它当成普通聊天应用来部署,完全忽略了它本质上是一个拥有系统级权限的本地服务

⚠️ 核心风险:当 OpenClaw 被当作简单聊天应用而非特权本地服务时,传统端点控制手段很难解释 Agent 行为、工具链调用和对话式执行路径。一旦 Agent 被攻破,它不仅是本地漏洞,还可能成为进入客户端租户、云控制台和敏感数据流的跳板。

🔍 威胁模型:你的 Agent 面临哪些攻击?

这套加固工具针对的威胁模型非常清晰,覆盖了 AI Agent 最常见的五大攻击面:

威胁类型
攻击描述
风险等级
Prompt 注入
恶意 Skill 包含覆盖系统提示、忽略安全规则或操纵 Agent 行为的指令
Critical
数据外泄
Skill 指示 Agent 将敏感数据(凭证、记忆、配置)发送到外部端点
Critical
Skill 篡改
初始审查后,已安装的 Skill 被未经授权修改
High
工作空间暴露
敏感文件权限错误、缺少 .gitignore 规则、不安全的 Gateway 配置
High
供应链投毒
安装包含隐藏恶意模式的新 Skill
High

▲ Prompt 注入攻击:恶意指令嵌入正常输入,劫持 AI Agent 行为

🛠️ 五大核心工具详解

这套工具集包含五个脚本,每个都针对特定的攻击面。咱们一个一个来盘:

1. scan-skills.sh — Skill 文件扫描器

这是你的第一道防线。它会扫描所有已安装的 Skill 文件,检测恶意模式,包括:

  • Prompt 注入模式(覆盖指令、新系统提示、管理员覆盖)
  • 数据外泄(curl/wget 到外部 URL、发送文件内容)
  • 可疑 URL(webhook、pastebin、requestbin、ngrok 等)
  • Base64 编码内容(可能隐藏恶意指令)
  • 隐藏 Unicode 字符(零宽空格、RTL 覆盖、同形异义字)
  • 敏感文件引用(.env、凭证、API Key、Token)
  • 社会工程学话术(”不要告诉用户”、”秘密地”、”不要提及”)
# 扫描所有 Skill 目录
./scripts/scan-skills.sh

# 扫描指定目录
./scripts/scan-skills.sh --path /path/to/skills/

# JSON 输出(方便自动化)
./scripts/scan-skills.sh --json

扫描结果按严重程度分级:CRITICAL(极可能恶意,需立即处理)、WARNING(可疑,需人工审查)、INFO(值得关注但大概率无害)。

2. integrity-check.sh — Skill 完整性监控

扫描器只能发现已知的恶意模式,但如果一个 Skill 在通过审查后被悄悄修改呢?这就是 integrity-check 的作用——它创建所有 Skill 文件的 SHA256 哈希基线,后续运行时会检测任何未授权修改。

# 初始化基线(首次运行)
./scripts/integrity-check.sh --init

# 检查变更(建议每日运行)
./scripts/integrity-check.sh

# 更新基线(审查完变更后)
./scripts/integrity-check.sh --update

报告包含四类状态:✅ 未变更、⚠️ 已修改(哈希不匹配)、🆕 新增文件、❌ 已删除。建议加到 cron 或 HEARTBEAT.md 里每日自动跑。

3. audit-outbound.sh — 出站数据流审计

这个工具专门盯着数据外泄。它会扫描 Skill 文件中的出站通信模式:

  • 嵌入在 Skill 指令中的 HTTP/HTTPS URL
  • curl、wget、fetch、web_fetch、browser_navigate 等引用
  • 发送邮件/消息/Webhook 的指令
  • 指令中的原始 IP 地址
  • 非白名单的外部域名
# 审计所有 Skill
./scripts/audit-outbound.sh

# 查看白名单域名
./scripts/audit-outbound.sh --show-whitelist

# 添加域名到白名单
./scripts/audit-outbound.sh --whitelist example.com

4. harden-workspace.sh — 工作空间加固器

这个工具检查并修复 OpenClaw 工作空间中的常见安全配置错误:

  • 敏感文件权限(MEMORY.md、USER.md、SOUL.md、凭证文件)
  • .gitignore 对敏感模式的覆盖情况
  • Gateway 认证配置
  • DM 策略设置
  • 版本控制文件中的敏感内容
# 仅检查(报告问题)
./scripts/harden-workspace.sh

# 自动修复安全的问题
./scripts/harden-workspace.sh --fix

5. install-guard.sh — 安装前安全门

这是最后一道关卡。在安装任何新 Skill 之前,先跑一遍这个脚本:

# 安装前检查
./scripts/install-guard.sh /path/to/new-skill/

# 严格模式(警告也阻断)
./scripts/install-guard.sh --strict /path/to/new-skill/

它会执行 scan-skills 的所有检测,外加危险 Shell 模式检查(rm -rf、curl|bash、eval 等)、可疑 npm 依赖审查。退出码 0 = 安全,1 = 可疑(可直接接入 CI/CD 自动化)。

▲ AI 系统安全加固的分层防御架构:从治理到沙箱的全栈防护

📋 配置安全审计:7 大维度评分

除了脚本工具,这套工具集还包含一个配置安全审计模块,对 openclaw.json 进行 7 项安全维度评分,输出总安全评分并提供三档加固方案:

#
检查项
风险等级
说明
1
DM 策略
Critical
私聊准入控制,open 意味着任何人可触达
2
Gateway 网络暴露
Critical
绑定地址与认证配置
3
群聊安全
High
requireMention、群白名单
4
工具权限
High
Agent 工具权限是否过宽
5
沙箱配置
Medium
sandbox 模式与隔离级别
6
文件权限
Medium
配置文件 chmod 权限
7
模型安全
High
有工具权限的 Agent 是否使用了能力不足的小模型

审计完成后,你可以选择三档加固方案:

  • 基础方案(~5 分钟):
    修复最高风险项(DM 策略、Gateway Auth、文件权限)
  • 标准方案(~10 分钟):
    基础 + 群聊保护 + 沙箱 + 按角色分配工具权限
  • 严格方案(~15 分钟):
    标准 + 全面沙箱化 + 最小权限 + Gateway loopback

▲ 安全审计的六大类型:合规、风险评估、配置审计、渗透测试等

🚀 快速上手:三步完成加固

整个流程非常简单,三步就能让你的 OpenClaw 从”裸奔”变”全副武装”:

1

初始扫描:运行 scan-skills.sh 审计现有 Skill,运行 audit-outbound.sh 检查出站数据流,运行 integrity-check.sh --init 建立完整性基线,运行 harden-workspace.sh --fix 自动修复工作空间问题。

2

添加安全规则:将 assets/security-rules-tem)plate.md 的内容追加到 AGENTS.md,为 Agent 添加运行时安全规则,拒绝 Prompt 注入尝试并保护敏感数据。

3

持续监控:将 integrity-check.sh 和 scan-skills.sh 加入 cron 或 HEARTBEAT.md,每日自动运行。安装新 Skill 前务必先跑 install-guard.sh

🔐 生产环境加固 Top 10

如果你要把 OpenClaw 投入生产,以下十条是最低安全基线,缺一不可:

  1. 定期运行安全审计:openclaw security audit --deep --fix
    ,每次升级后必跑。
  2. Gateway 绑定 Loopback:
    除非专门提供 WAN 服务,否则 Gateway 必须只监听 localhost(127.0.0.1)。远程访问走 VPN 或加密隧道。
  3. 启用 Token 认证:
    把 Token 当成 Domain Admin 密码来保护,不要硬编码在部署脚本里,用秘密管理器或环境变量注入。
  4. 最小化工具权限:
    移除不需要的工具。Host 执行应该是例外,不是默认。
  5. Skill 白名单:
    生产环境对外部 Skill 默认拒绝。建立审查流程、扫描、版本锁定、内部 Registry/Mirror。
  6. 配置沙箱:
    在 “All” 级别配置沙箱,确保每个工具调用都在隔离的 Docker 容器中运行。
  7. 敏感数据脱敏:
    开启邮箱、SSN、信用卡号脱敏,启用 Prompt 注入检测。
  8. 文件权限锁定:chmod 600 ~/.openclaw/*.json
    ,确保只有所有者能读写敏感凭证。
  9. 防火墙策略:
    UFW 默认拒绝入站,仅允许 SSH(22 端口)。
  10. 日志与审计:
    记录每一次工具调用和权限变更,将 Agent 视为关键生产服务。

▲ AI 运行时安全监控:实时检测数据泄露、Prompt 注入等异常行为

📊 与其他安全工具对比

这套工具不是孤军奋战,OpenClaw 生态里还有几个互补的安全产品:

工具
核心能力
适用场景
价格
本工具集
Skill 扫描、完整性监控、出站审计、工作空间加固
个人开发者 / 安全团队
开源免费
ClawSec (Prompt Security)
运行时漂移检测、NVD CVE 轮询、Skill 校验和验证
开发者 / SecOps
开源免费
Guardz Analyzer
静态配置扫描:明文密钥、身份泄露、mDNS 广播
MSP / IT 管理员
免费工具
Penligent.ai
自动化红队:模拟 Prompt 注入、角色扮演越狱、RCE
红队 / 安全验证
付费
SlowMist 指南
Agent 辅助部署 3 层防御矩阵(事前-事中-事后)
高级用户
开源免费

📝 写在最后

OpenClaw 很强大,但权力越大,责任越大。它不是一个普通的聊天机器人,而是一个拥有系统级访问权限的 AI Agent。如果你把它当成 Slack 来部署,那出事儿只是时间问题。

这套安全加固检查工具集的价值在于——它把抽象的安全建议变成了可执行的脚本和可量化的评分。你不需要是安全专家,跑几条命令就能知道自己的 Agent 哪里有问题,该修什么。

📌 项目地址:GitHub cain66666/openclaw-hardening-check(开源免费,欢迎 Star 和 PR)
适用平台:Linux(全功能)、macOS(全功能)、Windows(部分功能,文件权限自动化不可用)

安全不是可选项,而是 AI Agent 生产部署的前提条件。希望这套工具能帮到你。