腾讯官方开源的OpenClaw安全体检工具,审计Skill供应链风险、扫描CVE漏洞、评估隐私泄露风险,支持纯本地离线模式。
基本信息
- 技能名称?EdgeOne ClawScan
- 中文名称?OpenClaw 官方安全体检与供应链审计
- 作者?aigsec
- 分类?其他
- 版本?1.0.15
- 标签?security, scan, threat-detection, clawscan, claw-audit, claw-shield, supply-chain, vulnerability-scanning, privacy-audit, tencent, edgeone
使用方法
使用说明
核心功能
edgeone-clawscan 是腾讯朱雀实验室(Tencent Zhuque Lab A.I.G)开发的OpenClaw环境安全扫描工具,主要提供四大能力:
- OpenClaw配置审计 — 运行 openclaw security audit --deep 检测网关暴露、权限配置、浏览器控制等安全风险
- Skill供应链风险扫描 — 结合本地静态分析与云端威胁情报,识别已安装或待安装Skill的恶意/风险行为
- CVE漏洞匹配 — 查询A.I.G漏洞库,匹配当前OpenClaw版本的已知安全漏洞
- 隐私泄露风险评估 — 基于配置元数据分析相册、文档、会话日志等敏感数据暴露路径
显著优点
来源权威 :腾讯官方开源项目(T1级可信),GitHub活跃维护
数据最小化 :云端查询仅发送skill名称+来源标签、版本号, 绝不 上传源码、对话或工作区文件
可控透明 :提供 AIG_CLOUD_LOOKUP=off 完全禁用外联,或 AIG_BASE_URL 指向自建实例
零依赖风险 :纯Markdown技能,无第三方依赖包
离线可用 :所有核心功能均有本地降级方案,网络中断不影响扫描完成
潜在局限
云端威胁情报依赖腾讯A.I.G服务可用性,离线模式缺少最新恶意Skill签名
CVE库需网络更新,离线时无法获取当日新增漏洞
--deep 探针需用户自行确认生产环境风险
本地静态分析无法检测运行时动态加载的恶意行为
适合人群
OpenClaw环境管理员、安全审计人员
企业合规团队需定期安全体检
对Skill供应链安全有顾虑的开发者
气隙/隐私敏感环境用户(可配置纯本地模式)
常规风险
误配置 AIG_CLOUD_LOOKUP 可能导致预期外的网络连接
生产网关未隔离时运行 --deep 可能产生实际探针流量
Skill注册表显示的"所有者"可能与实际作者不一致,需核实官方仓库签名
security scan threat-detection clawscan claw-audit claw-shield supply-chain vulnerability-scanning privacy-audit tencent edgeone
💬 评论 (0)
📭 还没有评论,快来抢沙发吧!