每日自动安全审计 · DM邮件双投递

OpenClaw自动化安全审计守护进程，每日定时执行深度安全扫描并通过DM/邮件推送结构化报告，适合生产环境持续监控。

基本信息

• 技能名称?openclaw-audit-watchdog
• 中文名称?每日自动安全审计 · DM邮件双投递
• 作者?davida-ps
• 分类?专业技能
• 版本?0.1.4
• 标签?security, audit, automation, cron, monitoring, compliance, reporting, alerting

使用方法

使用说明
核心用法
openclaw-audit-watchdog 是一款面向 OpenClaw 代理的自动化安全审计工具，通过创建无人值守的 cron 任务实现每日定时扫描。核心工作流包括：

1. 双模式审计 ：执行标准审计 ( openclaw security audit --json ) 与深度审计 ( --deep --json )，覆盖 12-20+ 项安全检查
2. 智能报告生成 ：自动汇总关键/警告/信息级发现，附带 checkId 、标题及单行修复建议
3. 多渠道投递 ：通过 DM（Telegram/Slack 等）推送主报告，可选邮件副本（需显式配置 PROMPTSEC_EMAIL_TO ）
   安装支持两种模式：捆绑于 ClawSec Suite（推荐，路径 ~/.openclaw/skills/ ）或独立部署。MDM 友好型设计支持纯环境变量驱动配置，零交互即可完成初始化。
   显著优点
   生产级自动化 ：默认每日 23:00 运行，支持自定义 CRON 表达式（如 0 /6 每6小时）
   防御式抑制机制 ：双因子激活（CLI 标志 --enable-suppressions + 配置文件 "enabledFor": ["audit"] ），避免误过滤
   多层级配置 ：4 级配置解析（显式参数 → 环境变量 → ~/.openclaw/security-audit.json → .clawsec/allowlist.json ）
   幂等更新 ：自动检测同名任务并更新，避免重复创建
   多环境标识 ：通过 PROMPTSEC_HOST_LABEL 区分 dev/prod 等场景，报告头清晰标注来源主机
   潜在局限与风险
   | 维度 | 说明 | |------|------| | 依赖链 | 强依赖 openclaw、node、bash 运行时，任一缺失导致任务失败 | | 邮件可靠性 | 邮件投递依赖本地 sendmail 或 SMTP 中继配置，若双路径均失败仅记录备注而非告警 | | 权限风险 | 配置文件权限若过宽（如非 chmod 600），敏感抑制规则可能被篡改 | | 时区误配 | 未正确设置 PROMPTSEC_TZ 可能导致非预期时段执行，影响业务低峰期策略 | | 抑制滥用 | 尽管有双因子保护，长期累积的 suppressions 可能掩盖真实风险，需定期审计 | 适合人群
   DevOps/SRE 工程师 ：需为生产集群建立标准化安全基线监控
   安全运营团队 ：希望将 OpenClaw 发现集成至现有告警通道（Telegram/Slack）
   合规管理员 ：需留存结构化审计日志以满足 SOC2/ISO27001 等审计追溯要求
   常规风险提示
   非修复型工具 ：报告仅建议修复方案，不会自动执行 --fix ，需人工确认后处理
   环境变量注入 ：MDM 部署时注意路径展开规则，避免单引号导致 $HOME 字面量目录创建失败
   SMTP 凭证 ：若使用 SMTP 中继，建议通过专用只读 secret 注入而非明文环境变量
   版本锁定 ：建议固定 version: 0.1.4 或启用 PROMPTSEC_GIT_PULL=1 时配合完整性校验