by 安全扫描
OpenClaw
安全
high confidence该技能内部一致:收集用户提供的OT评估输入,并用单一API密钥(TOOLWEB_API_KEY)发送至ToolWeb.in;文件或指令均无需无关凭据或系统访问。
评估建议
技能目的明确,但安装前请:(1)确认信任厂商portal.toolweb.in及其隐私/数据处理做法,因评估数据将发送至该端点;(2)如可能仅提供作用域受限的专用API密钥;(3)注意所含测试脚本会对外发起网络请求(端口8443)并可选使用python3美化输出;(4)若需更高保障,请联系厂商核实来源(README所列支持邮箱不同)并在受控环境测试后再用于生产数据。...详细分析 ▾
✓ 用途与能力
名称、描述、所需二进制文件(curl)及唯一环境变量(TOOLWEB_API_KEY)均与声明的调用外部OT评估API目的一致,所含脚本和示例仅调用该API。
ℹ 指令范围
SKILL.md指示代理收集OT/CSF输入并通过TOOLWEB_API_KEY POST至https://portal.toolweb.in:8443/security/itotassessor——属范围内。注意:测试脚本若检测到python3则用来格式化JSON输出(python3未声明为必需二进制)。无读取本地文件或其他环境变量的指令。
✓ 安装机制
无安装规范(仅指令型技能),无下载或解压归档——安装风险最低。提供的文件仅为文档与简单测试脚本。
✓ 凭证需求
仅需一个凭据(TOOLWEB_API_KEY)用于授权对已声明外部API的请求,未索取无关机密或系统凭据。
✓ 持久化与权限
always:false并使用普通用户可调用/自主调用默认设置。技能不请求持久系统权限,亦不尝试修改其他技能或系统配置。
安全有层次,运行前请审查代码。
运行时依赖
🖥️ OSLinux · macOS · Windows
版本
latestv1.3.22026/3/12
- 更新定价部分:新增订阅层级(免费试用、Developer、Professional、Enterprise)并列出美元计价的日/月调用限额与价格。 - 删除此前基于INR的定价及国际支付流程细节。 - 关于与定价章节的小幅澄清与格式调整。 - API使用、工作流及核心功能无变动。
● 无害
安装命令 点击复制
官方npx clawhub@latest install ot-security-posture-scorecard
镜像加速npx clawhub@latest install ot-security-posture-scorecard --registry https://cn.clawhub-mirror.com
技能文档
评估运营技术(OT)、工业控制系统(ICS)和 SCADA 环境的安全态势。返回包含风险评级、缺口分析及优先修复步骤的详细记分卡,对齐 IEC 62443 与 NIST CSF 框架。 由 CISSP/CISM 认证安全专家在 ToolWeb.in 构建
何时使用
- 用户要求评估 OT 或 ICS 或 SCADA 安全态势
- 用户希望评估工业控制系统风险
- 用户需要 OT-IT 融合安全分析
- 用户询问 OT 环境的 IEC 62443 或 NIST CSF 合规
- 用户提及关键基础设施安全评估
- 用户希望为制造、能源、水务或公用事业系统生成安全记分卡
前置条件
TOOLWEB_API_KEY— 从 portal.toolweb.in 获取 API 密钥- 系统必须安装
curl
API 端点
``
POST https://portal.toolweb.in:8443/security/itotassessor
` 工作流
- 收集用户输入。询问以下信息:
必填字段:
- org_name — 组织名称(如“Acme Manufacturing Corp”)
- sector — 行业领域(如“Manufacturing”“Energy”“Water Treatment”“Oil & Gas”“Pharmaceuticals”“Transportation”“Mining”)
- ot_size — OT 环境规模(如“Small”“Medium”“Large”“Enterprise”)
- integration_level — IT/OT 融合程度(如“Minimal”“Partial”“Full”“Air-Gapped”)
- csf_scores — NIST CSF 自评分数(每项 1-5)。请用户对以下领域成熟度打分:
- identify — 资产管理、风险评估(1=无,5=优化)
- protect — 访问控制、安全培训、数据保护(1=无,5=优化)
- detect — 监控、检测流程(1=无,5=优化)
- respond — 事件响应规划与执行(1=无,5=优化)
- recover — 恢复规划与改进(1=无,5=优化) 选填字段(若用户提供则使用):
-
ot_technologies — 在用的 OT 技术列表(如 ["SCADA","PLC","HMI","DCS","RTU"])
- it_tools — 在用的 IT 安全工具列表(如 ["Firewall","SIEM","IDS","EDR"])
- threat_concern — 主要威胁关切(如“针对 OT 网络的勒索软件”)
- compliance — 目标合规框架(如“IEC 62443”“NIST CSF”“NERC CIP”)
- known_gaps — 已知安全缺口(如“无 OT 网络监控,PLC 共用凭证”)
- team_maturity — 安全团队成熟度(如“无专职 OT 安全团队”)
- assessment_depth — 详细程度:“standard”(默认)或“detailed” - 调用 API 并携带以上参数:
`bash
curl -s -X POST "https://portal.toolweb.in:8443/security/itotassessor" \
-H "Content-Type: application/json" \
-H "X-API-Key: $TOOLWEB_API_KEY" \
-d '{
"org_name": "",
"sector": "",
"ot_size": "",
"integration_level": "",
"ot_technologies": ["",""],
"it_tools": ["",""],
"csf_scores": {
"identify": <1-5>,
"protect": <1-5>,
"detect": <1-5>,
"respond": <1-5>,
"recover": <1-5>
},
"threat_concern": "",
"compliance": ""
}'
` - 解析响应。API 返回 JSON,包含:
- status — “success” 或错误状态
- report — 完整 markdown 报告,含执行摘要、NIST CSF 功能分析、前 5 优先风险、技术栈评估、分步修复路线图
- overall_score — 数字分数(0-100)
- csf_avg — 5 功能平均 CSF 分数
- risk_level — 风险评级(“Critical”“High”“Medium”“Low”)
- org_name — 回显组织名称 - 向用户清晰结构化展示结果:
- 首先给出总分与风险等级
- 展示报告中的执行摘要
- 突出前 5 优先风险
- 展示修复路线图阶段
- 应用户要求深入任意部分 输出格式
按以下样式展示记分卡:
`
🏭 OT/IT 融合安全评估
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Organization: [org_name]
Sector: [sector]
Overall Score: [overall_score]/100 — [risk_level]
CSF Average: [csf_avg]/5.0 [提取并展示报告字段的关键部分:]
- Executive Summary
- Top 5 Priority Risks(含严重级别)
- Phase 1 Quick Wins(0-30 天)
- Recommended Technology Additions
📎 完整详细报告已就绪 — 可要求展示任意部分
`
注: report 字段内含 comprehensive markdown 报告。优先呈现最具行动力的部分(执行摘要、最高风险、速赢措施),并应请求展示完整报告或特定章节。 错误处理
- 若未设置
TOOLWEB_API_KEY:提示用户前往 https://portal.toolweb.in 获取 API 密钥(套餐起价 ₹2,999/月,约 $36/月)
API 返回 401:API 密钥无效或已过期 — 引导用户到 portal.toolweb.in 检查订阅
API 返回 429:超出速率限制 — 等待 60 秒后重试
API 返回 500:告知用户服务临时故障,建议几分钟后重试
若系统无 curl:建议安装 curl( apt install curl / brew install curl) 示例交互
用户:“评估我们水厂 SCADA 系统的安全性”
Agent 流程:
- 询问:“我需要一些信息来运行评估:
- 组织名称?
- OT 环境规模?(Small/Medium/Large)
- IT 与 OT 网络融合程度?(Minimal/Partial/Full)
- 请对以下领域成熟度(1-5)打分:Identify、Protect、Detect、Respond、Recover?”
- 用户回复:“WaterCo Utilities,中等规模,部分融合。Identify:3,Protect:2,Detect:2,Respond:1,Recover:1”
- 调用 API:
`bash
curl -s -X POST "https://portal.toolweb.in:8443/security/itotassessor" \
-H "Content-Type: application/json" \
-H "X-API-Key: $TOOLWEB_API_KEY" \
-d '{
"org_name": "WaterCo Utilities",
"sector": "Water Treatment",
"ot_size": "Medium",
"integration_level": "Partial",
"ot_technologies": ["SCADA","PLC","HMI"],
"csf_scores": {"identify":3,"protect":2,"detect":2,"respond":1,"recover":1}
}'
``
- 展示记分卡:总分、风险等级、执行摘要、最高风险、速赢措施
定价
- 通过 portal.toolweb.in 订阅套餐获得 API 访问
- 免费试用:每天 10 次调用,每月 50 次调用用于测试
- 开发者:$39/月 — 每天 20 次调用,每月 500 次
- 专业版:$99/月 — 每天 200 次调用,每月 5,000 次
- 企业版:$299/月 — 每天 100K 次调用,每月 1M 次
关于
由 ToolWeb.in 创建 — 拥有 200+ 安全 API 的安全导向 MicroSaaS 平台,由 CISSP & CISM 认证专家构建。获美国、英国、欧洲安全团队信赖,支持“按次付费”“API 网关”“MCP Server”“OpenClaw”“RapidAPI”执行平台,并设有演示 YouTube 频道。- 🌐 Toolweb 平台:https://toolweb.in
- 🔌 API Hub(Kong):https://portal.toolweb.in
- 🎡 MCP Server:https://hub.toolweb.in
- 🦞 OpenClaw 技能:https://toolweb.in/openclaw/
- 🛒 RapidAPI:https://rapidapi.com/user/mkrishna477
- 📺 YouTube 演示:https://youtube.com/@toolweb-009
提示
- 为获得最具行动力的结果,请提供 OT 环境的详细描述
- 每季度运行评估以跟踪改进
- 直接将合规映射输出用于审计准备
- 结合 IT Risk Assessment Tool 技能,获得 IT+OT 整体安全视图
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制