OpenClaw Security — 安全审计与加固

概述

运行全面安全诊断，生成结构化报告，提供交互式修复引导。核心信号来自 openclaw security audit --json，补充手册（ZAST.AI 安全研究团队）中的手动检查项。

核心原则：

• - 所有修复操作需用户确认，不自动执行
• 安全默认值修复（--fix）可安全推荐
• 密钥/凭证操作、Skill 卸载、配置文件删除等为不可逆操作，必须人工决策
• 优先使用 JSON 输出（--json）做机器解析

工作流

0. 开始前确认

用中文询问用户意图（列出选项，回复数字）：

请选择操作模式：

1. 1. 完整审计（推荐）：诊断 + 报告 + 修复引导
2. 快速诊断：仅运行 openclaw security audit --deep
3. 交互式修复：基于上次报告逐项修复
4. 调度审计：配置定时安全检查

1. 运行诊断（并行执行）

按顺序执行以下检查，结果汇总后统一呈现：

A. OpenClaw 内置审计（JSON 格式）

bash
openclaw security audit --json

解析 JSON，提取 findings[]（severity/checkId/title/detail/remediation）。

B. 补充手动检查项

以下检查项内置 --fix 不覆盖，需手动扫描：

B-1. 文件权限
bash

检查关键文件和目录权限

ls -la ~/.openclaw/
stat -c %a %n ~/.openclaw/openclaw.json
stat -c %a %n ~/.openclaw/.env
stat -c %a %n ~/.openclaw/credentials/

B-2. 日志/会话密钥泄露扫描
bash
grep -rEn sk-|AKIA-|password|secret|token|private.key ~/.openclaw/sessions/ 2>/dev/null | grep -v .jsonl: | head -20
grep -rEn sk-|password|secret|token ~/.openclaw/logs/ 2>/dev/null | head -20

B-3. 附件文件权限
bash
find ~/.openclaw/ -type f \( -name .jpg -o -name .png -o -name .pdf -o -name .doc* \) -perm +044 2>/dev/null

B-4. 端口暴露检查（本地）
bash

检查网关 + 沙盒浏览器端口

ss -ltnp 2>/dev/null | grep -E 18789|18790|9222|5900|6080 || netstat -tlnp 2>/dev/null | grep -E 18789|18790|9222|5900|6080

B-5. 记忆文件完整性
bash
cat ~/.openclaw/workspace/MEMORY.md 2>/dev/null | head -50
ls -lt ~/.openclaw/workspace/memory/ 2>/dev/null | head -10

B-6. Skill 危险模式扫描
bash

检查可疑文件模式（低权限扫描，不执行）

find ~/.openclaw/skills/ -name .js -o -name .ts -o -name *.py 2>/dev/null | head -50

B-7. Docker 沙箱网络模式（如使用）
bash
docker inspect openclaw-sandbox 2>/dev/null | grep -A5 NetworkMode || echo 无沙箱容器

2. 生成报告

将所有发现分为三组，格式化输出：

🔴 CRITICAL（必须立即处理）
🟡 WARN（建议处理）
ℹ️ INFO（供参考）

每项输出格式：

[checkId] 标题
当前状态: <实际值>
建议: <修复方法>
修复命令: <具体命令或 需人工确认>

3. 交互式修复引导

按严重程度逐项处理。每项询问（数字选择）：

修复项：[标题]
当前: <当前值>
建议: <修复方法>
修复命令: <具体命令>

选择：

1. 1. 执行此修复
2. 跳过
3. 详细信息

可安全自动化的项目（直接推荐 1）：

• - chmod 600/700 文件权限
• openssl rand -hex 32 生成强令牌
• DISABLE_TELEMETRY=1 环境变量
• 日志密钥泄露（确认后 grep 删除）

必须人工确认的项目（默认 2 跳过）：

• - groupPolicy 修改
• sandbox.mode 变更
• Skill 卸载/安装
• OAuth token revoke
• 清除 workspace/sessions

4. openclaw security audit --fix

推荐执行内置安全默认值修复：

bash
openclaw security audit --fix

说明：--fix 只修复文件权限和配置默认值，不执行破坏性操作。

5. 调度审计（可选）

完成后询问（数字选择）：

是否需要调度定期安全审计？

1. 1. 每天 09:00 自动审计（openclaw cron）
2. 每周一 09:00 审计
3. 不调度

如选择调度：
bash
openclaw cron add --name openclaw-security:daily --command openclaw security audit --json --cron 0 9 * --output ~/.openclaw/logs/security-audit-$(date +\%Y\%m\%d).json

安全检查清单（完整版）

详细检查项见 references/checklist.md。

修复命令参考

各类问题的修复命令见 references/fix-commands.md。

脚本说明

• - scripts/security-report.py — 解析 --json 输出并格式化，支持 --fix 模式自动应用安全默认值
• references/checklist.md — 完整安全检查清单（手册第九章）
• references/fix-commands.md — 各类修复命令速查表

关于本 Skill

基于 ZAST.AI OpenClaw Security Handbook 构建，集成 OpenClaw 内置 security audit 命令，补充手册中的手动检查项。