<!-- {"requires":{"bins":["bash","curl","node","lsof"],"optionalBins":["witr","docker","openclaw"],"env":{"OPENCLAW_TELEGRAM_TOKEN":"可选：用于每日安全警报的Telegram机器人令牌","OPENCLAW_HOME":"可选：覆盖默认的~/.openclaw目录"}}} -->

安全监控器

为OpenClaw提供实时安全监控，包含来自ClawHavoc研究的威胁情报、每日自动扫描、Web仪表板和Telegram警报。

命令

注意：请将<skill-dir>替换为此技能安装的实际文件夹名称（通常是openclaw-security-monitor或security-monitor）。

/security-scan

运行全面的59点安全扫描：

1. 已知C2 IP（ClawHavoc: 91.92.242.x, 95.92.242.x, 54.91.154.110）
2. AMOS窃密软件 / AuthTool标记
3. 反向Shell与后门（bash, python, perl, ruby, php, lua）
4. 凭据外传端点（webhook.site, pipedream, ngrok等）
5. 针对加密货币钱包的攻击（助记词、私钥、交易所API）
6. Curl管道/下载攻击
7. 敏感文件权限审计
8. 技能完整性哈希验证
9. SKILL.md 文件中的Shell注入模式（基于先决条件的攻击）
10. 内存污染检测（SOUL.md、MEMORY.md、IDENTITY.md文件）
11. Base64混淆检测（glot.io风格的有效载荷）
12. 外部二进制文件下载（.exe、.dmg、.pkg、受密码保护的ZIP文件）
13. 网关安全配置审计
14. WebSocket来源验证（CVE-2026-25253漏洞）
15. 已知恶意发布者检测（如hightower6eu等）
16. 敏感环境/凭证文件泄露
17. DM策略审计（开放/通配符频道访问）
18. 工具策略/高级工具审计
19. 沙箱配置检查
20. mDNS/Bonjour暴露检测
21. 会话与凭证文件权限
22. 持久化机制扫描（LaunchAgents、crontabs、systemd）
23. 插件/扩展安全审计
24. 日志脱敏设置审计
25. 反向代理本地主机信任绕过检测
26. Exec-approvals配置审计（CVE-2026-25253利用链）
27. Docker容器安全审计（root权限、socket挂载、特权模式）
28. Node.js版本 / CVE-2026-21636权限模型绕过
29. 配置文件中的明文凭据检测
30. VS Code扩展木马检测（伪造的ClawdBot扩展）
31. 互联网暴露检测（非环回网关绑定）
32. MCP服务器安全审计（工具投毒、提示词注入）
33. ClawJacked WebSocket暴力破解防护（v2026.2.25+版本）
34. SSRF防护审计（CVE-2026-26322, CVE-2026-27488）
35. Exec safeBins验证绕过（CVE-2026-28363, CVSS 9.9）
36. ACP权限自动批准审计（GHSA-7jx5）
37. PATH劫持 / 命令劫持（GHSA-jqpq-mgvm-f9r6）
38. Skill环境变量覆盖主机注入（GHSA-82g8-464f-2mv7）
39. macOS深度链接截断（CVE-2026-26320）
40. 日志投毒 / WebSocket 头部注入
41. 浏览器中继 CDP 未授权访问 (CVE-2026-28458, CVSS 7.5)
42. 浏览器控制 API 路径遍历 (CVE-2026-28462, CVSS 7.5)
43. Exec-approvals 的 shell 扩展绕过 (CVE-2026-28463)
44. 审批字段注入 / 执行门控绕过 (CVE-2026-28466)
45. 沙箱浏览器桥接认证绕过 (CVE-2026-28468)
46. Webhook 拒绝服务攻击 — 超大有效载荷 (CVE-2026-28478)
47. TAR 归档路径遍历 (CVE-2026-28453)
48. fetchWithGuard 内存耗尽拒绝服务攻击 (CVE-2026-29609, CVSS 7.5)
49. /agent/act HTTP 路由未授权访问 (CVE-2026-28485)
50. 通过 PATH 环境变量劫持命令 — 不安全解析 (CVE-2026-29610)
51. SHA-1 沙箱缓存键投毒 (CVE-2026-28479, CVSS 8.7)
52. Google Chat Webhook 跨账户绕过 (CVE-2026-28469, CVSS 9.8)
53. 网关 WebSocket 设备身份跳过 (CVE-2026-28472)
54. trusted-proxy 中的跨站 WebSocket 劫持 (CVE-2026-32302)
55. 设备配对凭据泄露 (GHSA-7h7g-x2px-94hj)
56. 操作员权限提升（GHSA-vmhq-cqm9-6p7q）
57. 通过模式注入进行的MCP服务器工具投毒（OWASP MCP03/MCP06）
58. SANDWORM_MODE MCP蠕虫检测（Socket，2026年2月）
59. 规则文件后门/隐藏Unicode注入（Pillar Security）

bash ~/.openclaw/workspace/skills/<skill-dir>/scripts/scan.sh

退出代码：0=安全，1=警告，2=已入侵

/security-dashboard

通过witr显示包含进程树的安全概览。

bash ~/.openclaw/workspace/skills/<skill-dir>/scripts/dashboard.sh

/security-network

监控网络连接并根据IOC数据库进行检查。

bash ~/.openclaw/workspace/skills/<skill-dir>/scripts/network-check.sh

/security-remediate

扫描驱动的修复：运行scan.sh，跳过CLEAN检查，并针对每个WARNING/CRITICAL发现执行相应的修复脚本。包含59个独立脚本，涵盖文件权限、外泄域名阻止、工具拒绝列表、网关加固、沙箱配置、凭证审计、ClawJacked保护、SSRF加固、PATH劫持清理、日志投毒修复、/agent/act加固、SHA-1缓存密钥迁移、Google Chat webhook加固、WebSocket身份强制执行、MCP工具投毒隔离、SANDWORM_MODE蠕虫清理以及规则文件Unicode净化。

# Full scan + remediate (interactive)
bash ~/.openclaw/workspace/skills/<skill-dir>/scripts/remediate.sh

# Auto-approve all fixes (explicit opt-in)
OPENCLAW_ALLOW_UNATTENDED_REMEDIATE=1 \
  bash ~/.openclaw/workspace/skills/<skill-dir>/scripts/remediate.sh --yes

# Dry run (preview)
bash ~/.openclaw/workspace/skills/<skill-dir>/scripts/remediate.sh --dry-run

# Remediate a single check
bash ~/.openclaw/workspace/skills/<skill-dir>/scripts/remediate.sh --check 7 --dry-run

# Run all 59 remediation scripts (skip scan)
bash ~/.openclaw/workspace/skills/<skill-dir>/scripts/remediate.sh --all

标志：

• --yes/-y— 仅在以下情况下跳过确认提示OPENCLAW_ALLOW_UNATTENDED_REMEDIATE=1
• --dry-run— 显示将修复的内容而不进行实际更改
• --check N— 仅针对检查项 N 运行修复（跳过扫描）
• --all— 直接运行全部 59 个修复脚本，无需先进行扫描

退出代码：0=已应用修复，1=部分修复失败，2=无需修复

/clawhub-scan

扫描所有本地安装的 ClawHub 技能以查找安全问题。针对以下各项检查每个技能：

• 已知的恶意发布者 (ioc/malicious-publishers.txt)
• 恶意技能名称模式 (ioc/malicious-skill-patterns.txt)
• 可疑脚本模式：curl/wget 管道到 shell、base64 解码/eval、反向 shell、凭据文件访问、环境变量泄露
• 已知的C2 IP参考 (ioc/c2-ips.txt)
• 恶意域名参考 (ioc/malicious-domains.txt)
• SKILL.md完整性检查（先决条件中的Shell注入）
• 已知恶意文件哈希值 (ioc/file-hashes.txt)

bash ~/.openclaw/workspace/skills/<skill-dir>/scripts/clawhub-scan.sh

退出码：0=全部正常，1=发现警告，2=发现关键问题

/security-setup-telegram

注册一个Telegram聊天以接收每日安全警报。

bash ~/.openclaw/workspace/skills/<skill-dir>/scripts/telegram-setup.sh [chat_id]

Web仪表板

URL:http://<虚拟机IP>:18800

一个只读的暗色主题浏览器仪表板，用于显示来自日志文件的扫描结果、IOC统计信息、已安装技能列表和扫描历史记录。不执行任何Shell命令或子进程——所有扫描和修复操作均通过CLI脚本触发。

服务管理

launchctl list | grep security-dashboard
launchctl unload ~/Library/LaunchAgents/com.openclaw.security-dashboard.plist
launchctl load ~/Library/LaunchAgents/com.openclaw.security-dashboard.plist

IOC数据库

威胁情报文件位于ioc/:

• c2-ips.txt- 已知的命令与控制IP地址
• malicious-domains.txt- 载荷托管与数据外泄域名
• file-hashes.txt- 已知恶意文件SHA-256哈希值
• malicious-publishers.txt- 已知的恶意ClawHub发布者
• malicious-skill-patterns.txt- 恶意技能命名模式

每日自动扫描（可选）

可选，在UTC时间06:00通过cron任务运行，并发送Telegram警报。非自动安装— 需要用户明确操作：

crontab -l | { cat; echo "0 6 * * * $HOME/.openclaw/workspace/skills/<skill-dir>/scripts/daily-scan-cron.sh"; } | crontab -

威胁覆盖范围

基于40多个安全来源的研究，包括：

• ClawHavoc：341个恶意技能（Koi Security）
• CVE-2026-25253：一键式远程代码执行
• 从SKILL.md到Shell访问(Snyk)
• VirusTotal：从自动化到感染
• OpenClaw 官方安全文档
• DefectDojo 加固清单
• Vectra：自动化即后门
• 思科：AI代理的安全噩梦
• Bloom Security/JFrog：37个恶意技能
• OpenSourceMalware：技能窃取你的加密货币
• Snyk：clawdhub 攻击活动深度分析
• 2026年OWASP智能体应用十大安全风险
• CrowdStrike：OpenClaw AI超级代理
• Argus 安全审计（512项发现）
• ToxSec：OpenClaw 安全检查清单
• Aikido.dev：假冒的ClawdBot VS Code扩展
• Prompt Security：十大MCP风险
• Oasis Security：ClawJacked事件（2月26日）
• CVE-2026-28363：safeBins 绕过（CVSS 9.9）
• CVE-2026-28479：SHA-1 缓存投毒（CVSS 8.7）
• CVE-2026-28485：/agent/act 无认证访问
• CVE-2026-29610：通过PATH环境变量进行的命令劫持
• Flare：广泛利用（2月25日）
• CVE-2026-28469：Google Chat Webhook 跨账户绕过（CVSS 9.8）
• CVE-2026-28472：网关 WebSocket 设备身份跳过
• CVE-2026-32302：跨站 WebSocket 劫持
• GHSA-7h7g：设备配对凭证泄露
• GHSA-vmhq：操作员权限提升
• Socket：SANDWORM_MODE npm 蠕虫（2月20日）
• Pillar Security：规则文件后门
• OWASP MCP Top 10
• CyberArk：MCP 输出投毒
• Semgrep：npm 上首个恶意 MCP 服务器

安全性与透明度

源代码仓库：github.com/adibirzu/openclaw-security-monitor— 所有源代码均可公开审计。

仓库中的检测特征此项目包含威胁特征模式（IP地址、域名、哈希值），因为它会扫描技能中的风险内容。这些字符串仅用于grep/正则表达式匹配，并非可执行指令。

必需二进制文件：bash、curl、node（用于仪表板）、lsof（用于网络检查）。可选：witr（进程树）、docker（容器审计）、openclawCLI（配置检查）。

环境变量：OPENCLAW_TELEGRAM_TOKEN（可选，用于每日扫描警报）、OPENCLAW_HOME（可选，覆盖默认设置）~/.openclaw目录）。两者都在前述的前言元数据中声明。

扫描器读取的内容：scan.sh读取~/.openclaw/目录内的文件（配置、技能、凭证、日志）以检测威胁。它仅针对.env、.ssh和密钥链路径进行模式匹配以进行检测——它从不窃取、传输或修改数据。扫描器是只读的。

修复功能的作用：remediate.sh可以修改文件权限、在/etc/hosts中阻止域名、调整OpenClaw网关配置、隔离MCP配置以及移除恶意技能。务必先运行--dry-run以预览更改。无人值守模式（to preview changes. Unattended mode (--yes) 需要明确设置环境变量 OPENCLAW_ALLOW_UNATTENDED_REMEDIATE=1—— 如果没有这个环境变量，--yes选项会被静默忽略。

IOC 更新：update-ioc.sh脚本会从本项目的 GitHub 仓库获取威胁情报。在交互模式下，它会显示待处理的更改并在写入前请求确认。--auto模式（用于 cron 任务）会直接写入而不提示。它会验证传入的 IOC 文件格式（字段数量）。对于不受信任的上游仓库，需要明确设置环境变量 OPENCLAW_ALLOW_UNTRUSTED_IOC_SOURCE=1。

无自动安装的持久化机制：安装程序不会创建 cron 任务、LaunchAgents、符号链接或后台服务。Cron 和 LaunchAgent 的设置作为可选的手动步骤记录在案，用户必须明确自行运行。

仪表板绑定：Web 仪表板是只读的（无法执行 shell 命令，不生成子进程），并且默认127.0.0.1:18800（仅限本地主机）。它仅读取日志文件和IOC统计信息。

安装

# From GitHub
git clone https://github.com/adibirzu/openclaw-security-monitor.git \
  ~/.openclaw/workspace/skills/<skill-dir>
chmod +x ~/.openclaw/workspace/skills/<skill-dir>/scripts/*.sh

OpenClaw代理会自动从~/.openclaw/workspace/skills/通过SKILL.md前置元数据发现技能。克隆后，/security-scan、/security-remediate、/security-dashboard、/security-network以及/security-setup-telegram命令将在代理中可用。

部分文章来自各大搜索引擎，如有侵权，请与我联系删除。