X-RayLuan/openclaw-security-guard

# OpenClaw 安全卫士 **在你信任、安装或发布自动化流程之前，进行快速本地安全检查。** `openclaw-security-guard` 帮助你扫描 prompt、Shell 命令、URL、路径和第三方 skill 文件夹，在它们演变成昂贵的错误之前发现明显的安全风险。 **最适用于：** prompt/命令安全检查、skill 审计、泄露检查和发布前 guardrail。 # 为什么团队使用它 - 尽早发现常见的 prompt 注入和数据渗透模式 - 在自动化之前审查 Shell 命令 - 阻止有风险的 URL 和路径遍历目标 - 在安装或发布之前审计第三方 skill 文件夹 - 在 ClawHub / GitHub 发布之前添加轻量级 guardrail # 检查内容 此仓库支持以下快速本地检查： - 可疑的 prompt 文本 - 危险的 Shell 命令 - 有风险的 URL（SSRF / localhost / 元数据目标） - 不安全的文件路径 - 包含密钥、curl|bash 模式、破坏性脚本或数据渗透逻辑的 skill 文件夹 # 判定结果 - `ALLOW` — 在此轻量级检查中未发现高风险模式 - `WARN` — 需要人工审查 - `BLOCK` — 在审查之前不要信任/运行/发布 一个干净的结果意味着**未检测到明显的模式**，而不是**代码已被证明是安全的**。 # 安装 / 运行 ``` npm install ``` 快速检查： ``` node scripts/security-check.mjs text "" node scripts/security-check.mjs command "" node scripts/security-check.mjs url "" node scripts/security-check.mjs path "" ``` 审计一个 skill / 文件夹： ``` node scripts/audit-skill-dir.mjs /absolute/or/relative/path/to/skill ``` 将审计结果写入 Obsidian： ``` node scripts/write-obsidian-audit.mjs /tmp/audit.json "Skill Audit - my-skill" ``` 安装本地预发布 hook 包装器： ``` bash scripts/install-hooks.sh ``` # 典型用例 - “扫描此 prompt 是否存在注入风险” - “在自动化之前检查此 Shell 命令” - “验证此 URL / 路径” - “在安装之前审计此第三方 skill” - “在发布到 ClawHub 之前添加安全卫士” # 文件 - `SKILL.md` — 面向 agent 的路由和使用指南 - `scripts/security-check.mjs` — 文本 / 命令 / URL / 路径检查 - `scripts/audit-skill-dir.mjs` — skill 文件夹审计 - `scripts/write-obsidian-audit.mjs` — 将审计记录持久化到 Obsidian - `scripts/install-hooks.sh` — 轻量级本地安装/发布包装器 - `references/checklist.md` — 审计类别和审查理念 # 重要限制 - 这是一个**轻量级 guard**，而不是沙箱 - 正则检查能发现常见模式，但无法发现所有攻击 - 高风险代码仍然需要人工审查和运行时隔离 # 总结 如果你想在信任外部自动化之前设置一个低成本、快速的安全层，此仓库为你提供了一个实用的初步 guard。

标签：CI/CD 安全, DevSecOps, DNS 反向解析, HTTP工具, IP 地址批量处理, MITM代理, Node.js 安全工具, Shell 命令审计, SSRF 防护, URL 验证, 上游代理, 云安全监控, 依赖安全, 内容安全策略, 发布前检查, 命令注入防护, 提示词注入检测, 数据可视化, 数据投毒防御, 本地安全检查, 结构化查询, 自动化安全, 自定义脚本, 规则仓库, 路径遍历检测, 静态分析, 风险控制