总安装量 3
评分人数 2
核心用法
Moltbot Security 是一个纯文档型的安全加固指南 Skill,专为使用 Moltbot、OpenClaw、Cursor、Claude 等 AI 编码工具的用户设计。该 Skill 不提供可执行代码,而是通过结构化的 Markdown 文档,指导用户完成 8 项关键安全配置:网关绑定至 loopback、设置 Token/密码认证、锁定文件权限(600/700)、禁用 mDNS 广播、升级 Node.js 至 v22.12.0+、配置 Tailscale 安全隧道、部署 UFW 防火墙规则,以及 SSH 密钥加固。用户可通过 openclaw security audit --deep --fix 命令配合文档完成自动化检测与修复。
显著优点
零攻击面设计:作为纯文档 Skill,不含任何可执行代码、网络请求或文件操作,从根本上消除了代码层面的安全风险。权威研究支撑:内容基于 @NickSpisak_ 对 Shodan 上 1,673+ 个暴露网关的真实漏洞研究,非理论推测。实战导向:提供可直接复制的配置模板(JSON、Shell 命令),覆盖从本地开发到云服务器部署的全场景。生态整合:深度整合 Tailscale、UFW、OpenSSL 等主流工具,形成完整的安全访问链路。持续更新:版本迭代至 v1.0.3,作者维护活跃,及时跟进 Node.js 等依赖的安全版本要求。
潜在缺点与局限性
无自动化执行能力:用户需手动执行文档中的命令,对新手可能存在操作门槛。平台覆盖不均:防火墙配置主要针对 Ubuntu/Debian(UFW),Windows 用户需自行适配。Tailscale 依赖:远程访问方案强依赖第三方 VPN 服务,未提供 WireGuard 等替代方案。配置验证缺失:文档未提供配置生效后的自动化验证脚本,用户需自行检查。误配置风险:若用户未理解即复制粘贴,可能因网络配置错误导致自身被锁出服务器(如 UFW 规则顺序错误)。
适合的目标群体
AI 辅助开发者:使用 Cursor、Claude、GitHub Copilot 等工具进行 "vibe-coding" 的开发者,尤其是将 AI 代理网关暴露于网络环境的用户。DevOps/运维工程师:负责 AI 工具链基础设施安全加固的技术人员。安全意识薄弱的技术团队:缺乏专门安全人员,但需要快速落实基础安全措施的初创团队。云服务器用户:在 AWS、DigitalOcean、Hetzner 等公有云部署 AI 代理的个人开发者或小团队。
使用风险
操作风险:手动执行防火墙或 SSH 配置时,可能因误操作导致服务器无法远程访问,建议先在测试环境验证。文档滞后性:Node.js 版本要求(v22.12.0+)可能随新漏洞披露而过时,需关注官方安全公告。社会工程仿冒:攻击者可能伪造类似名称的恶意 Skill,用户应核实作者身份(NextFrontierBuilds)和 GitHub 仓库来源。配置漂移:长期运行后,系统更新可能重置部分配置(如 UFW 规则),建议定期重新执行审计命令。过度依赖单一方案:Tailscale 服务中断时,远程访问将失效,需准备备用访问通道。