mj-deving/openclaw-hardened

部署一个经过安全加固的 OpenClaw AI agent —— 从空服务器到具备防御能力的生产级机器人。

6 层注入防御 • 配置审计 • 每项决策均有详细说明

 

## 这是什么 这是一个完整的部署系统，用于在自托管 VPS 上以纵深防御安全机制运行 [OpenClaw](https://docs.openclaw.ai)。包含一份 15 个阶段的设置指南、一个 6 层 prompt 注入防御系统、通过 ClawKeeper 进行的配置审计、监控脚本以及自动化安装程序。 不局限于任何特定的机器人——无论是部署一个还是五个机器人，每个都会获得同样经过加固的基础环境。 ## 快速开始 **在运行中的 OpenClaw 实例上安装防御系统（无需克隆仓库）：** ``` curl -fsSL -o defense-install.sh \ https://raw.githubusercontent.com/mj-deving/openclaw-hardened/main/src/defense/install.sh bash defense-install.sh # Downloads defense modules from GitHub, installs plugins bash ~/.openclaw/workspace/skills/security-defense/validate.sh # 12 tests, all should pass ``` **全新的 VPS？从零开始完整设置：** ``` git clone https://github.com/mj-deving/openclaw-hardened.git && cd openclaw-hardened sudo bash setup.sh # 13 steps: OS hardening → OpenClaw → systemd → monitoring bash src/defense/install.sh # Defense Shield + ClawKeeper plugins bash src/defense/validate.sh # Prove it works ``` ## 为什么要加固？ 默认的 OpenClaw 初始安装会信任所有内容： - **无输入扫描** — 来自任何消息源的 prompt 注入在未经筛选的情况下直达 LLM - **供应链暴露** — 来自 ClawHub 的社区技能会执行任意代码且未经审查 - **自我重新配置** — `gateway` 工具可以在运行时修改其自身的权限边界 - **无输出过滤** — 泄露的 API 密钥、内部路径和 PII 会未经检查地传递给用户 本仓库通过代码强制执行的防御来填补这些漏洞，而不仅仅是依赖模型级别的安全指令。 ## 安全架构 | 层级 | 机制 | 防御内容 | |-------|-----------|----------| | **OS 加固** | 防火墙、自动升级、专属用户 | 权限提升、横向移动 | | **systemd 沙箱** | ReadOnlyPaths, NoNewPrivileges, ProtectSystem | 文件系统攻破、持久化 | | **工具限制** | `tools.deny: [gateway, nodes]` + `exec.security: full` | 自我重新配置、无限制 Shell | | **网络隔离** | 仅限环回网关、出站过滤 | 远程利用、数据渗透 | | **身份加固** | DM 配对 + 系统 prompt 安全防护 | 身份冒充、prompt 提取 | | **防御盾 (Defense Shield)** | 6 层原生插件（5 个 hook 事件覆盖全部 6 层） | 注入、编码攻击、凭证泄露 | | **ClawKeeper** | 配置审计、漂移检测、技能扫描 | 配置回退、供应链问题、行为漂移 | ## Prompt 注入防御 一个 6 层防御系统作为 OpenClaw 原生插件运行，挂钩到 5 个网关事件以执行实时保护。基于 [Matthew Berman 的架构](https://x.com/MatthewBerman/status/2030423565355676100)构建，并针对 STRIDE 威胁模型中的 20 项发现进行了加固。 | 层级 | Hook | 功能 | |-------|------|-------------| | **L1: 清理器 (Sanitizer)** | `message_received` | Unicode 规范化、编码检测（base64/hex/ROT13/隐写术）、注入模式匹配、钱包标记。覆盖所有频道。 | | **L2: LLM 扫描器** | `message_received` | Nonce 分隔的分类器 (Haiku, ~$0.001/扫描)。仅限高风险频道——跳过受信任的 Telegram DM。 | | **L3: 出站网关 (Outbound Gate)** | `message_sending` | 捕获泄露的密钥（18 种模式）、内部路径、渗透 URL、财务数据。交付前强制执行。 | | **L4: 脱敏 (Redaction)** | `message_sending` | 在交付前剥离 API 密钥、个人电子邮件、电话号码、金额。 | | **L5: 控制器 (Governor)** | `llm_input` | 支出/数量跟踪、重复检测、按调用者的熔断机制。 | | **L6: 访问控制** | `before_tool_call` | 路径守卫（拒绝 30 多个文件名）、带有 DNS 固定的 URL 安全检查、私有 IP 封禁。 | 涵盖 **162 项测试**，包含来自 [L1B3RT4S](https://github.com/elder-plinius/L1B3RT4S)、[P4RS3LT0NGV3](https://github.com/elder-plinius/P4RS3LT0NGV3) 和 TOKEN80M8 仓库的真实攻击载荷。 ## 您将获得 | 组件 | 描述 | |-----------|-------------| | **[GUIDE.md](GUIDE.md)** | 4,400 多行的详细指南——15 个阶段，从 OS 加固到上下文工程，包含威胁分析和决策推理 | | **[防御系统](Reference/DEFENSE-SYSTEM.md)** | 6 层 TypeScript 模块、原生插件、STRIDE 威胁模型、162 项测试 | | **[ClawKeeper](Reference/CLAWKEEPER.md)** | 配置审计（9 个领域，49 项以上检查）、漂移监控、技能供应链扫描 | | **[参考文档](Reference/)** | [安全](Reference/SECURITY.md) (2,600 行)、[成本路由](Reference/COST-AND-ROUTING.md)、[身份](Reference/IDENTITY-AND-BEHAVIOR.md)、[工具](Reference/SKILLS-AND-TOOLS.md)、[已知 Bug](Reference/KNOWN-BUGS.md) | | **安装程序** | `setup.sh` (完整 VPS)、`install.sh` (监控)、`defense/install.sh` (防御 + ClawKeeper，独立或基于仓库) | | **监控** | 健康检查（4 层检测）、运维手册（12 项诊断）、备份、自动更新、绑定验证 | | **配置模板** | 带有安全默认值的带注释 `openclaw.json` | | **验证** | `validate.sh` — 12 项攻击载荷测试，证明防御有效 | ## 安装程序的功能 **`setup.sh`** — 从零配置完整 VPS。创建专属用户、加固 OS、安装 Node.js + OpenClaw、部署配置及 systemd 服务，然后委托给 `install.sh` 执行监控。共 13 个幂等步骤。 **`install.sh`** — 在现有 OpenClaw 之上部署监控：配置模板、健康检查、运维手册、备份、自动更新、logrotate。 **`src/defense/install.sh`** — 安装防御系统。可独立运行（从 GitHub 下载）或从仓库检出版运行。部署防御盾插件（全部 6 层防御）+ ClawKeeper（配置审计）。具备幂等性，支持 `--dry-run`、`--uninstall`、`--remote HOST`。 **`src/defense/validate.sh`** — 对已安装的防御系统运行 12 项攻击载荷并报告 PASS/FAIL。可在 VPS 本地运行，或通过 `--remote HOST` 运行。 所有安装程序均具备幂等性，且绝不覆盖现有文件。使用 `--dry-run` 可预览操作。 ## 链接 - **官方文档：** [docs.openclaw.ai](https://docs.openclaw.ai) - **OpenClaw npm：** [npmjs.com/package/openclaw](https://www.npmjs.com/package/openclaw) - **AI agents：** 将您的 agent 指向 [AGENTS.md](AGENTS.md) 以获取机器可读的项目上下文

标签：AI 代理, CISA项目, ClawKeeper, Cutter, DevSecOps, GitHub Advanced Security, MITM代理, OpenClaw, Shell 脚本, VPS 部署, 上游代理, 子域名变形, 子域名枚举, 安全加固, 安全基线, 提示词注入防御, 教学环境, 服务器运维, 特权提升, 生产环境, 系统安全, 纵深防御, 网络安全, 自动化部署, 防御系统, 隐私保护