ReefWatch 是一款轻量级的主机入侵检测系统(HIDS),专为 Linux 和 macOS 系统设计,作为后台守护进程持续监控本地安全状态。它通过独立的 Python 进程运行,不消耗 LLM 推理资源,仅在检测到威胁时通过 OpenClaw 的消息通道向用户发出警报。ReefWatch 的核心职责是实时识别暴力破解、恶意软件感染、权限提升、可疑进程活动及文件篡改等常见安全威胁,确保系统安全状况透明可控。其架构由数据采集层、检测引擎层和告警管理层组成,支持多种检测规则协同工作,所有数据均保留在本地,绝不外传至外部服务器。 该工具采用模块化设计,集成了 YARA 文件特征扫描、Sigma 日志行为分析以及自定义系统级检查规则三大检测引擎。YARA 用于快速识别已知恶意代码模式,如 webshell、挖矿程序或勒索软件;Sigma 则基于系统日志(如 auth.log)分析异常登录行为或横向移动迹象;而自定义规则可针对特定环境定制检查项,例如关键文件完整性校验、异常进程网络连接监控等。这种多维度检测机制使得 ReefWatch 既能应对通用攻击模式,也能适应企业内网或开发机的特殊安全需求。 ReefWatch 与 OpenClaw 深度集成,仅在其本地 webhook 端点(/hooks/wake)接收指令并发送告警,实现零外部依赖的安全闭环。用户可通过命令行轻松启动、停止、查看状态或手动触发扫描,所有操作均有明确反馈。首次部署需安装依赖包并初始化规则集,后续更新可通过脚本一键完成。日志记录详尽,包括最近告警历史、详细事件描述和时间戳,便于事后追溯与分析。整体而言,ReefWatch 是一个高效、低干扰且完全本地化的主动防御工具,适合需要持续监控但又不愿牺牲性能或隐私的场景。
核心功能特点
- 基于 YARA 和 Sigma 的多引擎威胁检测,覆盖恶意软件、暴力破解、权限提升等多种攻击类型
- 完全本地化运行,仅通过 OpenClaw 本地 webhook 通信,不消耗 LLM 资源且不向外部传输数据
- 支持自定义安全规则,可针对特定系统配置进行文件完整性、进程行为和连接监控
- 提供命令行管理接口,支持启动、停止、状态查询、手动扫描及规则更新等全生命周期操作
- 自动恢复机制保障稳定性,单个采集器失败不影响整体监控功能,错误信息会记录到本地日志
适用场景
ReefWatch 特别适用于需要长期运行安全监控但无法接受高资源占用的场景,例如个人开发者笔记本或小型服务器。由于它作为守护进程持续运行且默认仅扫描变更文件而非全盘,对 CPU 和磁盘 I/O 的影响极小,不会显著拖慢系统性能。对于经常处理敏感数据的程序员或运维人员而言,ReefWatch 能在后台默默守护关键目录(如项目根目录、配置文件路径),一旦发现可疑脚本注入或异常网络连接即可立即告警,帮助用户第一时间响应潜在风险。 在企业内部环境中,ReefWatch 可作为轻量级 HIDS 补充现有安全体系,尤其适合缺乏专职安全团队的小型企业或 DevOps 团队。它无需复杂部署即可启用,并能与 OpenClaw 集成实现统一消息通知,使开发人员和安全人员能通过熟悉的聊天渠道接收告警,降低响应门槛。此外,其基于日志的行为分析能力可有效识别横向移动或凭证爆破等高级持续性威胁(APT),即使没有明显文件变化也能捕捉异常活动。 对于注重隐私和离线安全的用户,ReefWatch 的完全本地化特性极具吸引力。所有检测逻辑、规则匹配和数据存储均在设备本地完成,无需联网即可运行,避免了云端方案可能带来的数据泄露顾虑。同时,它支持 macOS 上的 Full Disk Access 权限配置,确保在高安全性要求环境下仍能正常执行深度扫描,满足合规审计中对本地监控工具的需求。