ClawSecure

ClawSecure 是什麼？

ClawSecure 是一款 OpenClaw 安全掃描器與完整性驗證工具，專為評估 OpenClaw 代理技能與代理工作流程的安全性而設計。其核心目的是提供個別技能的安全分析，並支援工作流程隨時間演進的驗證。

ClawSecure 不僅執行檔案靜態檢查，更強調完整性驗證與持續監控，涵蓋 OWASP Agentic Security Initiative (ASI) Top 10 風險類別。

主要功能

• 免費 OpenClaw 安全掃描，涵蓋 OWASP ASI Top 10：針對代理安全風險類別執行分析，產生安全分數與依嚴重度分組的發現結果。
• OpenClaw 技能/工作流程的三層審核協議：結合專有威脅偵測、行為分析與漏洞資料庫，評估惡意程式碼、行為威脅、提示注入與供應鏈漏洞等威脅。
• 透過 24/7 Watchtower 監控提供反休眠保護：監控更新以偵測程式碼漂移，當變更引入時重新驗證先前掃描的技能。
• 代理註冊表探索預審核技能：讓使用者瀏覽網站參照的社群策劃清單與儲存庫中的安全審核 OpenClaw 技能。
• 多種掃描輸入（URL、GitHub 連結、技能名稱或 zip 上傳）：支援 ClawHub URL、GitHub 連結、技能名稱或上傳 .zip 檔案（上限 10MB，.zip 格式）。

如何使用 ClawSecure

1. 開啟 ClawSecure 掃描頁面，選擇一種輸入方式：貼上 ClawHub URL、提供 GitHub 連結、輸入技能名稱，或上傳 .zip 檔案（上限 10MB）。
2. 啟動掃描，即可在數秒內取得結果（頁面顯示 <30s），包含 滿分 100 的安全分數 與依嚴重度分組的發現結果。
3. 對於您安裝的技能或建置的工作流程，依賴 ClawSecure 的 Watchtower 24/7 監控，偵測未經授權變更，並在開發者更新程式碼時觸發重新驗證。

使用情境

• 安裝第三方 OpenClaw 技能前審核：貼上技能的 ClawHub URL、GitHub 連結或名稱，即可取得安全分數與依嚴重度分組的發現結果。
• 安裝技能更新後重新檢查風險：利用 Watchtower 的持續完整性追蹤，在新推送/更新後程式碼漂移時收到警示。
• 依組成技能評估代理工作流程：在組裝工作流程時掃描個別技能，降低包含脆弱元件之機率。
• 從安全註冊表瀏覽並篩選預審核技能：搜尋網站審核代理清單（參照 2,890+ 經審核技能），找出已通過三層協議的選項。
• 評估供應品與供應鏈相關疑慮：使用協議涵蓋供應鏈漏洞，結合惡意程式碼與行為威脅檢查，審核第三方貢獻。

常見問題

OpenClaw 使用安全嗎？

OpenClaw 已改善平台安全性（包含原生安全審核與沙箱），但網站指出 ClawHub 上的第三方技能仍需注意。ClawSecure 掃描器旨在協助安裝前審核技能。

如何在安裝前檢查 OpenClaw 技能是否安全？

使用掃描器輸入 ClawHub URL、GitHub 連結或技能名稱（或上傳 zip）。掃描執行三層審核協議，並回傳滿分 100 的安全分數與依嚴重度分組的詳細發現結果。

什麼是 OWASP Agentic Security Initiative (ASI) Top 10？

頁面描述 OWASP ASI Top 10 為產業標準框架，涵蓋 AI 代理安全風險的 10 類別，包括代理目標劫持、工具濫用、供應鏈攻擊、程式碼執行與流氓代理等主題。

掃描器提供哪些輸出？

網站表示結果快速交付（數秒內），包含 滿分 100 的安全分數 與 依嚴重度分組的詳細發現結果。

ClawSecure 會儲存我的資料或認證安全嗎？

頁面說明掃描提供 分析與風險評估，而非認證，並包含掃描 不儲存資料 的聲明。

替代方案

• 通用靜態惡意軟體或程式碼掃描器：這些可能專注於檔案是否危險，但 ClawSecure 頁面將其方法定位為代理工作流程的上下文感知，並包含靜態檢查以外的完整性監控。
• 基於沙箱的第三方技能評估：在隔離環境中執行技能可降低風險，補充（而非取代）針對性的代理安全分析。
• 遵循 OWASP 框架的安全掃描工具：如果您已使用對應 OWASP 類別的工具，請尋找涵蓋代理特定風險（例如提示注入、工具誤用）的工具，而非僅傳統軟體漏洞。
• 手動程式碼審查與依賴審計：對於內部審查技能的團隊，請結合人工審查與自動化測試，以減少長期依賴單一掃描結果。