OpenClaw 安全审计工具是一款专为本地 OpenClaw 安装环境设计的全面安全检查系统,覆盖六个关键安全领域,并与 MITRE ATLAS 威胁分类体系对齐。该工具旨在帮助用户快速识别潜在的安全漏洞和配置风险,适用于在修改 OpenClaw 配置(如网关、通道、工具设置等)后主动进行安全评估,或在用户提出“检查安全性”“审计我的 OpenClaw”或担心 API 密钥泄露、端口暴露等问题时启动。工具默认以只读模式运行,确保安全操作,所有修复脚本均需用户明确确认后方可执行,保障用户对系统变更的完全控制权。支持生成 HTML 或 JSON 格式的详细审计报告,便于后续查阅与归档。
核心功能特点
- 覆盖六大安全域:网关绑定与认证、凭证泄露防护、通道策略合规、工具沙箱隔离、网络/IP 暴露检测、macOS 系统级安全(如 SIP、TCC)
- 提供快速检查(仅关键项,约5秒完成)与完整审计(全部6模块)两种模式,适应不同场景需求
- 支持按用户关注点调用单项检查脚本,精准定位问题所在(如 API 密钥、端口开放、DM 权限等)
- 具备交互式自动修复功能,所有修复操作需用户逐项确认,避免误改导致服务中断
- 可生成结构化 HTML 或 JSON 安全报告,清晰标注 [PASS]/[WARN]/[FAIL]/[SKIP] 状态,便于追踪与复盘
适用场景
OpenClaw 安全审计工具特别适合在以下场景中部署使用:当用户刚调整了 OpenClaw 的核心配置,例如启用了新的网关地址、修改了通道策略(如 WhatsApp 或 Telegram 的 allowFrom 规则),或更新了工具沙箱的白名单/黑名单设置时,建议立即运行一次完整审计,确保变更未引入安全隐患。若用户怀疑存在凭证泄露风险(如配置文件权限宽松、历史命令记录敏感信息),可通过 credentials.sh 模块专项排查。对于担心外部攻击面扩大的管理员,network.sh 模块能检测公网 IP 是否意外暴露端口,并在必要时向 Shodan/Censys 发送查询前征得同意。此外,在 macOS 设备上部署 OpenClaw 的用户还可借助 system.sh 检查系统完整性保护(SIP)、文件保险箱(FileVault)及隐私控制(TCC)状态,防止因系统权限配置不当导致数据外泄。该工具不仅适用于个人开发者自查,也适合企业内网环境中对 AI 代理类应用进行合规性验证,是保障 OpenClaw 实例安全运行的标准化流程之一。