OpenClaw 安全加固工具，支持只读审计、安全修复与配置加固规划，默认零变更，适合安全审计与合规检查。

基本信息

• 技能名称?OpenClaw Hardener
• 中文名称?OpenClaw 安全审计与加固工具
• 作者?virtaava
• 分类?专业技能
• 版本?0.1.2
• 标签?security-audit, openclaw, secret-scanning, compliance, configuration-hardening, prompt-injection-defense

使用方法

使用说明
核心用法
OpenClaw Hardener 是一款面向 OpenClaw 运行环境的安全加固工具，提供三层防护能力：

1. 内置安全审计 — 调用 openclaw security audit --deep 深度扫描，支持 --fix 自动修复
2. 工作区卫生检查 — 检查 ~/.openclaw 权限、异常可执行位、泄露的 .env 文件、危险反序列化模式

3. 配置加固规划 — 生成并可选应用 config.patch ，收紧运行时策略（访问控制、敏感日志脱敏等）
   显著优点
   默认只读 ： check 模式零变更，风险可控，适合 CI/CD 集成
   显式授权 ：所有修复操作（ fix 、 apply-config ）需用户主动触发，符合最小权限原则
   敏感信息脱敏 ：输出自动 redact 疑似令牌，避免二次泄露
   渐进式加固 ：配置补丁先生成预览再应用，便于人工复核
   潜在缺点与局限性
   依赖 OpenClaw CLI 的 security audit 子命令，若 OpenClaw 版本过旧可能功能缺失
   工作区检查基于启发式规则，存在误报/漏报可能
   配置补丁为"尽力而为"生成，需人工 review，无法保证完全适配复杂场景
   不支持远程/多节点分布式环境扫描
   适合人群
   使用 OpenClaw 的开发者与运维工程师
   需要满足安全合规要求的团队（SOC2、等保等）
   对 prompt-injection、secret 泄露风险敏感的 AI 应用构建者
   常规风险
   | 场景 | 风险等级 | 说明 | |------|----------|------| | 误运行 fix 或 apply-config | 中 | 可能改变文件权限或网关策略，建议先在 staging 验证 | | 扫描路径包含真实密钥 | 低 | 工具设计有脱敏机制，但敏感文件仍建议预先移除 | | 配置补丁应用失败 | 低 | 不影响现有服务，仅回显错误 | 最佳实践

   日常 CI 集成（只读）

   python3 hardener.py check --all

   发版前加固（人工复核后执行）

   python3 hardener.py plan-config # 预览补丁
   python3 hardener.py fix --all # 修复 + 应用审计修复
   python3 hardener.py apply-config # 应用网关配置