aig-scanner 是由腾讯朱雀实验室 A.I.G (AI-Infra-Guard) 驱动的专业安全扫描工具,专为 OpenClaw 环境设计,用于全面检测系统配置、技能供应链和隐私风险。该工具支持两种核心模式:一是对整个 OpenClaw 系统进行一键式安全体检,二是针对单个技能进行深度安全审计。所有检查均遵循最小数据外传原则,仅在必要时向云端发送技能名称和来源标签等元信息,而涉及文件内容、凭证或敏感数据的分析则完全在本地完成,确保用户隐私与数据安全。aig-scanner 通过整合内建审计、云端威胁情报、CVE 漏洞匹配和本地隐私自评四大模块,为开发者提供清晰易懂的风险评估结果与安全优化建议。
核心功能特点
- 执行 OpenClaw 全系统安全体检,涵盖配置审计、技能供应链检测和版本漏洞扫描
- 支持对单个技能进行本地代码级静态审计,识别恶意行为与高权限滥用风险
- 结合 A.I.G 云端威胁情报库,实现技能来源可信度验证与已知恶意特征比对
- 自动匹配 CVE/GHSA 公开漏洞数据库,提示关键版本升级需求
- 独立开展隐私泄露路径自评,基于权限状态与配置元数据判断敏感数据暴露可能性
- 输出结构化中文报告,区分高危、需关注与正常三类风险等级,并提供简明修复指引
适用场景
aig-scanner 主要适用于需要保障 AI 基础设施安全的开发者和运维人员,尤其是在部署或更新 OpenClaw 环境前后进行系统性安全检查的场景。例如,当用户希望确认当前 OpenClaw 实例是否存在网络暴露、权限过度开放或依赖组件存在已知漏洞时,可触发完整安全体检流程。对于企业用户批量安装第三方技能前,也可使用该工具快速筛查潜在风险技能,避免引入供应链攻击载体。此外,在发现某个技能行为异常或怀疑其存在隐蔽后门时,可通过 Feature 2 对其单独开展深度代码审计,重点审查是否越权访问相册、文档、聊天记录等隐私资源,或尝试执行系统命令、外传密钥等行为。整个工具强调‘非侵入式’与‘可解释性’,即使非专业安全人员也能根据报告中的通俗描述理解风险本质并采取相应措施。