ClawSecure

ClawSecure 是什么？

ClawSecure 是一款 OpenClaw 安全扫描器与完整性校验工具，专为评估 OpenClaw agent 技能和 agentic 工作流的安全性而设计。其核心目的是为单个技能提供安全分析，并支持工作流随时间演进时的验证。

ClawSecure 不仅进行静态文件检查，还强调完整性校验与持续监测，覆盖 OWASP Agentic Security Initiative (ASI) Top 10 风险类别。

主要特性

• 免费 OpenClaw 安全扫描，覆盖 OWASP ASI Top 10：针对 agentic 安全风险类别运行分析，生成安全分数和按严重度分组的发现结果。
• OpenClaw 技能/工作流的 3 层审计协议：结合专有威胁检测、行为分析和漏洞数据库，评估恶意代码、行为威胁、提示注入和供应链漏洞等威胁。
• 通过 24/7 Watchtower 监测提供反休眠保护：通过监测更新检测代码漂移，确保变更引入时先前扫描的技能重新验证。
• 预审计技能的 agent 注册表发现：让用户浏览网站引用的社区精选列表和仓库中的安全审计过的 OpenClaw 技能。
• 多种扫描输入（URL、GitHub 链接、技能名称或 zip 上传）：支持 ClawHub URL、GitHub 链接、技能名称或上传 .zip 归档（最大 10MB，.zip 格式）。

如何使用 ClawSecure

1. 打开 ClawSecure 扫描页面，选择一种输入方式：粘贴 ClawHub URL、提供 GitHub 链接、输入技能名称，或上传 .zip 文件（最大 10MB）。
2. 启动扫描，几秒内即可获得结果（页面显示 <30s），包括 满分 100 的安全分数 和按严重度分组的发现结果。
3. 对于安装的技能或构建的工作流，依赖 ClawSecure 的 Watchtower 24/7 监测 检测未授权变更，并在开发者更新代码时触发重新验证。

使用场景

• 安装前审计第三方 OpenClaw 技能：粘贴技能的 ClawHub URL、GitHub 链接或名称，即可获得安全分数和按严重度分组的发现结果。
• 安装技能更新后重新检查风险：利用 Watchtower 的持续完整性跟踪，在新推送/更新后代码漂移时收到警报。
• 通过组件技能评估 agentic 工作流：在工作流组装过程中扫描单个技能，降低包含漏洞组件的可能性。
• 从安全注册表浏览并筛选预审计技能：搜索网站审计的 agent 列表（引用 2,890+ 审计技能），查找已通过 3 层协议的选项。
• 评估供应链相关风险：使用协议对供应链漏洞的覆盖，结合恶意代码和行为威胁检查，审查第三方贡献。

常见问题

OpenClaw 使用安全吗？

OpenClaw 已改进平台安全（包括原生安全审计和沙箱），但网站指出 ClawHub 上的第三方技能仍需关注。ClawSecure 扫描器旨在帮助安装前审计技能。

如何在安装前检查 OpenClaw 技能是否安全？

使用扫描器输入 ClawHub URL、GitHub 链接或技能名称（或上传 zip）。扫描运行 3 层审计协议，返回满分 100 的安全分数和按严重度分组的详细发现结果。

什么是 OWASP Agentic Security Initiative (ASI) Top 10？

页面描述 OWASP ASI Top 10 为 AI agent 安全风险的行业标准框架，涵盖 10 个类别，包括 agent 目标劫持、工具滥用、供应链攻击、代码执行和 rogue agent 等主题。

扫描器提供什么输出？

网站指出结果快速返回（几秒内），包括 满分 100 的安全分数 和 按严重度分组的详细发现结果。

ClawSecure 会存储我的数据或认证安全吗？

页面声明扫描提供 分析和风险评估，而非认证，并注明扫描 不存储数据。

替代方案

• 通用静态恶意软件或代码扫描器：这些工具可能关注文件是否危险，但 ClawSecure 页面将其方法定位为针对 agentic 工作流的上下文感知方法，并包含静态检查之外的完整性监测。
• 基于沙箱的第三方技能评估：在隔离环境中运行技能可降低风险，作为针对性 agent 安全分析的补充（而非替代）。
• 遵循 OWASP 框架的安全扫描工具：如果您已使用映射到 OWASP 类别的工具，请选择覆盖 agent 特定风险（如提示注入、工具滥用）的工具，而非仅传统软件漏洞。
• 手动代码审查与依赖审计：对于内部审查技能的团队，将人工审查与自动化测试结合，以减少对单一扫描结果的长期依赖。