Agent工作空间安全合规审计官

OpenClaw官方出品的本地安全合规审计工具，零依赖纯标准库实现，为Agent工作空间提供策略定义、技能安全检查和审计报告生成能力。

基本信息

• 技能名称?openclaw-marshal
• 中文名称?Agent工作空间安全合规审计官
• 作者?AtlasPA
• 分类?专业技能
• 版本?v1.0.2
• 标签?security, devops, automation, testing, backend, project-program-management

使用方法

使用说明
核心用法
OpenClaw Marshal 是一款专为 Agent 工作空间设计的安全合规审计工具。用户通过定义 .marshal-policy.json 策略文件，可对已安装的 Skill 进行全面的安全合规检查。主要功能包括：初始化默认安全策略、展示当前策略配置、执行完整合规审计、针对单个 Skill 进行合规检查、生成审计就绪的合规报告，以及快速查看工作空间安全状态。工具支持工作空间自动检测，可通过环境变量、当前目录或默认路径定位目标工作空间。
显著优点
零依赖架构 ：仅使用 Python 标准库，无需 pip 安装，无外部依赖风险，部署极其轻量。 纯本地运行 ：无任何网络通信，所有分析在本地完成，彻底杜绝数据外泄风险。 全面的检查维度 ：覆盖命令安全（危险模式识别）、网络策略（域名黑白名单）、数据处理（PII/密钥扫描配置）、工作空间卫生（.gitignore、审计追踪、技能签名）四大类别。 清晰的策略体系 ：通过 JSON 配置文件灵活定义允许/禁止/需审查的命令、网络域名规则及数据处理要求。 审计友好 ：生成格式化的合规报告，直接满足企业审计文档需求。 跨平台兼容 ：支持 OpenClaw、Claude Code、Cursor 等主流 Agent 工具生态。
潜在缺点与局限性
静态分析局限 ：仅检查配置和代码模式，无法检测运行时行为或逻辑漏洞。 无自动修复能力 ：发现违规后仅报告和隔离，不自动修复代码问题。 隔离操作风险 ：quarantine 功能会重命名 Skill 目录，虽可逆但可能影响工作空间正常运行。 策略维护成本 ：需要用户自行维护策略文件，对安全知识有一定要求。 无网络威胁情报 ：纯离线设计意味着无法获取最新的威胁情报或漏洞数据库更新。
适合的目标群体
企业安全团队、DevSecOps 工程师、需要对 Agent 工作空间进行合规审计的组织、关注第三方 Skill 安全性的高级用户，以及需要满足 SOC2、ISO27001 等合规认证要求的团队。
使用风险
性能影响 ：大规模工作空间审计可能消耗较多 I/O 资源。 误报可能 ：静态规则可能将合法但复杂的代码模式标记为可疑。 隔离副作用 ：误隔离关键 Skill 可能导致工作空间功能中断。 策略配置错误 ：过于宽松或严格的策略都会影响实际防护效果。