总安装量 14
评分人数 12
核心用法
openclaw-defender 采用防御纵深策略,使用前需执行 generate-baseline.sh 建立关键文件(SOUL.md、MEMORY.md、SKILL.md 等)的 SHA256 完整性基线。日常通过 check-integrity.sh 进行文件完整性校验,结合 crontab 每10分钟自动监控。安装新技能前必须运行 audit-skills.sh 进行预安装审计,检测 Base64 编码、Unicode 隐写、提示注入等 5 类威胁模式。运行时通过 runtime-monitor.sh hook 技能执行流程,实施网络请求拦截、文件访问控制、命令执行白名单和 RAG 操作禁止。紧急情况下可激活 Kill Switch 立即阻断所有操作。
显著优点
该框架基于 Snyk 2026年2月 ToxicSkills 真实威胁研究构建,针对性防御 13.4% 的恶意技能生态。七层防御体系(预安装审计、完整性监控、运行时防护、输出净化、紧急响应、模式检测、A2A 端点安全)形成纵深防御。Kill Switch 机制可在检测到关键威胁时自动或手动激活,防止损害扩大。提供结构化 JSON Lines 日志和 Markdown 事件报告,支持取证分析和 SIEM 集成。内置已知恶意作者和技能黑名单(blocklist.conf),支持自动更新。合谋检测功能可识别多技能协同攻击和 Sybil 网络。
潜在缺点与局限性
作为 T3 级个人来源项目,虽然代码规范但缺乏企业级代码签名和第三方安全审计背书。运行时防护功能依赖 OpenClaw 网关正确调用 runtime-monitor.sh 的 start/end 钩子,若网关未集成则该层防御失效。update-lists.sh 需从网络下载 blocklist 配置,虽有备份机制但缺乏数字签名验证。需要较高系统权限(文件监控、网络拦截、命令执行),在受限环境中部署困难。当前仅支持 Bash 环境,跨平台兼容性有限,且依赖 curl、jq 等外部工具。
适合的目标群体
主要面向安全意识强的 OpenClaw/OpenAI Agent 高级用户,特别是需要从 ClawHub 等第三方市场安装技能的用户。适用于企业级 AI Agent 部署场景,尤其是那些处理敏感数据或具备 A2A 端点能力的生产环境。DevSecOps 团队可利用其结构化日志和自动化审计能力构建 CI/CD 安全门禁。不适合完全隔离的内网环境(无需供应链防护)或无法授予必要权限的受限沙箱环境。
使用风险
供应链风险:update-lists.sh 从 GitHub 下载 blocklist.conf,若官方仓库被入侵或 DNS 劫持可能导致恶意规则注入。权限风险:作为安全工具需 root 级访问权限,本身被 compromise 将导致全部防御失效。运行时依赖风险:若 OpenClaw 版本未集成 runtime-monitor 调用钩子,则 7 层防御中的第 3、4、5 层实际处于休眠状态,用户可能产生虚假安全感。误报风险:严格的模式匹配可能将合法技能的复杂编码误判为恶意,影响业务连续性。维护成本:需每月手动执行安全审计并更新基线,对普通用户而言运维负担较重。
references