getmilodev/milo-scan
GitHub: getmilodev/milo-scan
一款零依赖的 OpenClaw 网关配置安全扫描器,通过十条检查项快速识别高危配置错误并给出可执行的修复建议。
Stars: 0 | Forks: 0
# milo-scan
[](https://www.npmjs.com/package/milo-scan)
[](https://opensource.org/licenses/MIT)
**在攻击者之前发现 OpenClaw 网关配置中的安全漏洞。**
一条命令。十项检查。零依赖。数据不离开本机。
```
npx milo-scan
```
就是这样。你将获得一个字母等级 (A–F) 以及针对每个发现问题的可操作修复命令。
## 为什么存在这个工具
大多数 OpenClaw 和 NanoClaw 设置都使用默认配置,这些配置完全开放 —— 没有身份验证,没有 TLS,网关绑定到 `0.0.0.0`。我们见过数百次这种情况。
milo-scan 能在几秒钟内捕获 10 个最危险的配置错误,以便你在它们变成事故之前修复它们。
## 检查内容
| # | 检查项 | 严重程度 | 捕获内容 |
|---|-------|----------|-----------------|
| 1 | **Gateway 绑定** | 🔴 严重 | Gateway 暴露给所有网络接口 |
| 2 | **身份验证** | 🔴 严重 | 缺少或虚弱的 Auth Token |
| 3 | **TLS/HTTPS** | 🔴 严重 | 面向公众的 Gateway 上的流量未加密 |
| 4 | **硬编码密钥** | 🔴 严重 | 配置文件中存在 API 密钥或 Token |
| 5 | **Exec 权限** | 🟡 警告 | 具有不受限制的命令执行能力的 Skill |
| 6 | **CORS 策略** | 🟡 警告 | 跨域请求完全开放 |
| 7 | **速率限制** | 🟡 警告 | 未配置滥用保护 |
| 8 | **端口配置** | 🔵 信息 | 使用默认或特权端口 |
| 9 | **日志记录** | 🔵 信息 | 未启用访问日志 |
| 10 | **内存加密** | 🔵 信息 | Agent 内存未加密存储 |
## 使用方法
### 扫描默认位置
```
npx milo-scan
```
自动在你的项目中查找 `gateway.yaml`、`gateway.yml` 或 `config/gateway.yaml`。
### 扫描特定文件
```
npx milo-scan ./path/to/gateway.yaml
```
### 全局安装
```
npm install -g milo-scan
milo-scan
```
## 评分标准
| 等级 | 分数 | 含义 |
|-------|-------|---------|
| **A** | 90–100 | 加固良好。可以上线。 |
| **B** | 75–89 | 稳固,可能有微小改进空间。 |
| **C** | 60–74 | 存在真实问题。修复后再部署。 |
| **D** | 40–59 | 安全缺口显著。 |
| **F** | 0–39 | 暴露风险极高。立即修复。 |
## 示例输出
```
🔒 Milo Scan — OpenClaw Security Audit
Scanning: ./gateway.yaml
🚨 CRITICAL (2)
✗ Gateway bound to 0.0.0.0
Your gateway is accessible from any network interface.
Fix: Set host: 127.0.0.1
✗ No authentication configured
Anyone who can reach your gateway can control your agent.
Fix: Add auth_token:
⚠ WARNINGS (1)
⚠ No rate limiting
No rate limiting detected.
Fix: Add rate_limit configuration
✓ PASSED (4)
✓ TLS/HTTPS
✓ Exec permissions
✓ No hardcoded secrets
✓ CORS policy
────────────────────────────
Security Grade: D
────────────────────────────
🔗 Need help fixing these? → https://getmilo.dev/security
```
## 隐私与信任
- **零依赖** —— 单个文件,只需审计一个脚本
- **本地运行** —— 你的配置从未离开本机
- **无遥测** —— 无分析,无跟踪,无网络调用
- **MIT 许可** —— 随意使用
## 扫描后的步骤
得到你的分数了吗?以下是接下来的路线:
| 你的等级 | 建议的下一步 |
|------------|----------------------|
| **A 或 B** | 设置 [Milo Watch](https://github.com/getmilodev/milo-watch) 进行持续监控(免费) |
| **C 或 D** | 自己逐一完成修复,或者[获取专业审计 →](https://getmilo.dev/security) |
| **F** | 你的 Gateway 已暴露。[立即修复 →](https://getmilo.dev/security) |
📖 **完整指南:** [超越扫描 —— 接下来做什么](./docs/BEYOND_SCANNING.md)
## Milo 安全套件的一部分
| 工具 | 功能 | 费用 |
|------|-------------|------|
| **milo-scan** (本工具) | 一次性配置审计 | 免费 |
| [**Milo Watch**](https://github.com/getmilodev/milo-watch) | 每日自动扫描 + 告警 | 免费 |
| [**Milo Shield**](https://github.com/getmilodev/milo-shield) | 实时自动修复配置错误 | 免费 |
| [**Web Scanner**](https://getmilo.dev/scanner) | 基于浏览器的 OpenClaw 扫描器 | 免费 |
| [**专业审计**](https://getmilo.dev/security) | 全面安全审查 + 加固 | $199 起 |
| [**AI Agent Teams**](https://getmilo.dev/agents) | 处理日程安排、跟进、运维的 Agent | $399 起 |
## 贡献
发现我们需要添加的检查项?提交 Issue 或 PR。我们特别感兴趣的是:
- 针对 OpenClaw/NanoClaw 配置的新安全检查
- 支持其他配置格式
- 与 CI/CD 流水线集成
## 许可证
MIT — [Milo](https://getmilo.dev)
标签:API安全, CORS, DevSecOps, GraphQL安全矩阵, JSON输出, MITM代理, NanoClaw, NodeJS, npm, npx, OpenClaw, TLS检测, 上游代理, 云安全监控, 安全助手, 安全扫描器, 密钥泄露检测, 插件系统, 文档结构分析, 暗色界面, 网关安全, 网络安全, 自定义脚本, 自定义脚本, 认证安全, 足迹分析, 防御绕过, 隐私保护, 零依赖, 静态分析