ClawSecure

ClawSecure 是什么？

ClawSecure 是 OpenClaw 安全扫描与完整性验证工具，用于 AI 代理技能和工作流审计。它帮助您审计 OpenClaw 代理技能并监控完整性漂移，旨在减少安装后漏洞和未授权变更带来的风险。

其核心目的是超越仅文件检查，通过结合 OpenClaw 特定威胁检测和行为分析，将评估与 OWASP Agentic Security Initiative (ASI) Top 10 框架对齐。

免费 OpenClaw 安全扫描，覆盖 OWASP ASI Top 10：生成安全分数（满分 100），并提供按严重度分组的发现，映射至 OWASP ASI 类别。
代理技能和工作流的 3 层审计协议：包括专有的 OpenClaw 威胁检测、行业标准行为分析以及漏洞数据库。
提示注入、供应链和恶意行为检查：扫描覆盖恶意代码和行为威胁类别，包括提示注入和供应链漏洞。
反休眠完整性监测（“Watchtower”）：安装技能/工作流后持续监测，检测未授权代码变更，解决“今日干净不等于明日安全”的空白。
浏览预审计代理注册表：可搜索和浏览社区精选的已审计 OpenClaw 技能及相关仓库，通过 3 层协议重新验证，并提供 24/7 监测。

扫描技能或代理：粘贴 ClawHub URL、GitHub 链接或技能名称，或上传 .zip 文件（支持拖放）。源文本指出扫描结果在 30 秒内 返回。
查看结果：使用提供的 安全分数 (0–100) 和 详细按严重度分组的发现，决定是否安装或使用该技能。
安装后监测完整性：使用 Watchtower 持续跟踪技能/工作流，并在更新时检测代码漂移。
浏览审计注册表：如果不想自行扫描一切，可浏览已列出的预审计技能，从通过协议验证的技能中选择。

安装前审计新 OpenClaw 技能：使用免费扫描器通过 URL、GitHub 链接、技能名称或上传 zip 评估技能，然后查看按严重度分组的发现，再添加到您的设置中。
验证 OpenClaw 工作流的安全态势：运行代理技能/工作流审计，查找与 OWASP ASI Top 10 类别对齐的风险（例如工具滥用、供应链风险或 rogue-agent 式行为）。
减少安装后“休眠”变更风险：如果技能在初始扫描后更新或更改，Watchtower 监测旨在检测未授权变更并触发重新验证。
批量分级热门社区技能：浏览已审计代理注册表，关注已通过相同 3 层协议评估并持续监测的技能。
评估开发者推送的更新：开发者推送技能更新时，Watchtower 行为会重新验证以捕获代码漂移，而非依赖早期扫描。

OpenClaw 安全吗？ 网站指出 OpenClaw 具有原生安全审计和沙箱等改进，但 ClawHub 上的第三方技能仍需关注。ClawSecure 对 2,890 个热门技能的分析发现，41% 包含实质性安全漏洞，30.6% 存在 HIGH 或 CRITICAL 风险。
安装前如何检查技能是否安全？ 将 ClawHub URL、GitHub 链接或技能名称粘贴到扫描器中（或上传 zip 文件）。ClawSecure 运行 3 层审计协议，检查恶意代码、行为威胁、提示注入和供应链漏洞等风险，然后返回满分 100 的评分和按严重度分组的发现。
OWASP ASI Top 10 是什么，ClawSecure 如何使用它？ OWASP Agentic Security Initiative (ASI) Top 10 是 2025 年 12 月发布的代理安全风险框架。网站指出 ClawSecure 提供与这些类别对齐的全面覆盖。
可以扫描哪些输入？ 扫描器接受 ClawHub URL、GitHub 链接、技能名称 或 .zip 上传。页面注明最大上传大小为 10MB，接受的来源类型包括 ClawHub、GitHub 和 zip 上传。
扫描是否认证技能安全？ 否。页面指出扫描提供分析和风险评估，而非认证，用户应审阅发现结果并自行判断后再安装。

运行其他文件或静态分析工具检查代理代码：这些方法关注代码是否危险，但可能不包括 OpenClaw 特有的行为检查或持续完整性监测。
使用专注于提示注入和工具滥用的 AI-代理安全测试流程：这针对常见 LLM/代理风险模式，如果已有代理行为测试框架，可作为 ClawSecure 的补充。
仅依赖经过审核的市场或精选注册表：如果优先速度，可选择预审计列表；这不同于扫描自家技能/流程或持续完整性监测。
由安全工程师进行手动代码审查：人工审查可处理逻辑和依赖问题，但可能无法提供 ClawSecure 描述的结构化、协议式评估和重新验证机制。