OpenClaw网关安全审计与风险检测

专业的OpenClaw/Clawdbot安全审计工具，只读检测网关暴露、凭证泄露、技能供应链风险等9大类配置缺陷，输出结构化漏洞报告与修复建议。

基本信息

• 技能名称?Openclaw Security Audit
• 中文名称?OpenClaw网关安全审计与风险检测
• 作者?misirov
• 分类?其他
• 版本?1.0.0
• 标签?security-audit, openclaw, clawdbot, gateway-hardening, credential-security, supply-chain-risk, configuration-audit, penetration-testing, compliance

使用方法

使用说明
核心定位
OpenClaw Security Audit是一款面向OpenClaw/Clawdbot部署环境的 只读安全审计技能 ，专注于识别AI网关及配套生态的常见 misconfiguration 与攻击面。该技能严格遵循"零破坏"原则，通过非侵入式命令采集系统状态，生成带修复指引的终端报告。
显著优势

1. 全栈覆盖 ：审计范围涵盖网关暴露面（端口绑定、认证状态）、控制UI Token安全（CSWSH漏洞）、执行策略（exec审批机制）、技能供应链（第三方skill后门风险）、凭证存储（明文secret、权限配置）、持久化威胁（cron/systemd后门）等9大维度。
2. 输出标准化 ：强制采用结构化终端报告格式，每个检查项明确标注OK/VULNERABLE/UNKNOWN状态，附带证据摘要、业务影响说明、可操作的修复步骤，降低安全团队的理解成本。
3. 风险分级清晰 ：内置常见漏洞模式库（如公网暴露18789端口、无认证0.0.0.0绑定、旧版本Token窃取漏洞），能自动关联CVE级别的历史风险并提示升级/轮换。
4. 零数据外泄 ：设计层面禁止将凭证内容输出到报告，仅记录路径与权限状态，符合企业合规审计要求。
   关键局限
   只读约束 ：无法直接修复发现的问题，需用户二次确认后方可执行修复命令，紧急响应场景下效率受限。
   环境依赖 ：部分检查依赖 openclaw CLI工具或特定配置文件路径的存在，容器化/非标准部署中可能出现UNKNOWN状态。
   无主动探测 ：仅基于本地进程/文件系统审计，无法检测网络层横向攻击面（如内网其他主机的网关暴露）。
   适用人群
   运维工程师：生产环境上线前的安全检查清单
   安全团队：AI基础设施的合规审计与渗透测试辅助
   开发者：本地Clawdbot部署的基线加固参考
   常规风险
5. 信息泄露风险 ： ss -tulpen 、 find 等命令可能暴露内部网络拓扑或敏感路径，建议在授权范围内使用。
6. 权限不足 ：非root用户执行时，部分检查（如SUID枚举、systemd服务列表）可能返回不完整结果。
7. 技能供应链误报 ：静态文件检测无法100%识别混淆后的恶意skill，需结合人工代码审计。