ShellWard Security Guide — ShellWard 安全指南 — OpenClaw 安全部署指南

Name: ShellWard Security Guide — ShellWard 安全指南 — OpenClaw 安全部署指南
Author: jnmetacode

jnmetacode

ShellWard Security Guide — ShellWard 安全指南 — OpenClaw 安全部署指南

v1.0.0

OpenClaw 安全部署指南，帮助用户安全配置 OpenClaw 安装。提供网络控制、容器隔离、凭证管理、审计日志、插件安全和补丁管理的安全部署检查清单。

0· 310·0 当前·0 累计

by @jnmetacode·MIT-0

安全网络工具云服务

下载技能包

License

MIT-0

最后更新

2026/3/16

安全扫描

VirusTotal

无害

查看报告

OpenClaw

安全

medium confidence

该技能的指令与合理的 OpenClaw 安全检查清单匹配，其操作（读取本地配置、日志和插件代码）与其目的一致，但会访问敏感本地数据，且该包无源码/主页，使用时需谨慎。

评估建议

该技能在其声明的目的上看似合理，但会要求代理读取敏感本地文件（环境变量、SSH 密钥、AWS 凭证）、审计日志和插件代码。使用前：（1）优先在测试或预生产主机或只读访问下运行；（2）除非信任源，否则不要粘贴云/提供商凭证（该包无主页/源代码仓库）；（3）审查任何“自动修复”操作，并在进行破坏性修复前要求手动确认；（4）如果技能要求发送数据到外部服务（SIEM 或其他端点），验证数据将去向并必要时删除机密信息。...

详细分析 ▾

✓ 用途与能力

名称/描述（OpenClaw 安全部署指南）与 SKILL.md 一致：它指示检查网络暴露、容器硬化、凭证管理、审计日志、插件和补丁 —— 所有适合安全指南的内容。

ℹ 指令范围

运行时指令明确要求代理检查本地状态（端口、防火墙、~/.env、~/.bashrc、~/.ssh、~/.aws/credentials、~/.openclaw/shellward/audit.jsonl），列出和扫描插件代码，并检查 Node/OpenClaw 版本。这些操作对于安全扫描器来说是合理的，但涉及读取敏感文件和可能向外部发送发现；SKILL.md有点宽泛（“使用可用工具检查当前系统状态”），这赋予了代理自主范围。

✓ 安装机制

仅指令的技能，无安装规格和代码文件 —— 最低磁盘/写入风险。该技能本身不下载或安装任何内容。

ℹ 凭证需求

该技能声明不需要环境变量或凭证，但指示扫描环境变量和凭证文件（包括 AWS 凭证）。对于安全指南来说，阅读这些项是合理的，但该技能没有请求或记录如何访问云凭证 —— 用户除非明确需要并验证，否则不应提供云/提供商凭证。

✓ 持久化与权限

标志显示 always:false 和 user-invocable:true；disable-model-invocation:false（正常）。该技能不请求持久存在 nor 修改其他技能或全局代理配置。

安全有层次，运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发，无需署名。

查看条款 ↗

运行时依赖

无特殊依赖

版本

latestv1.0.02026/3/16

● 无害

安装命令点击复制

官方npx clawhub@latest install shellward-security-guide

镜像加速npx clawhub@latest install shellward-security-guide --registry https://cn.clawhub-mirror.com

技能文档

当用户调用此技能时，基于以下最佳实践提供完整的安全部署检查清单。使用可用工具检查当前系统状态并提供可执行的推荐。

安全检查清单

1. 网络控制 / 网络控制

检查 OpenClaw 网关端口（19000/19001）是否暴露于公共网络
推荐绑定到 127.0.0.1 或使用带身份验证的反向代理
建议防火墙规则：ufw allow from 127.0.0.1 to any port 19000
对于云服务器：检查安全组规则

2. 容器隔离 / 容器隔离

推荐使用 Docker 运行 OpenClaw，具有受限功能：

``

docker run --cap-drop=ALL --cap-add=NET_BIND_SERVICE \
--read-only --tmpfs /tmp \
-u 1000:1000 \
openclaw

`

建议资源限制：--memory=2g --cpus=1


挂载仅必要的目录

`3. 凭证管理 / 凭证管理`

扫描 .env、.bashrc、环境变量中的明文秘密
推荐使用秘密管理器（Vault、doppler 等）
检查敏感文件的文件权限（应为 0600）

建议 chmod 600 ~/.env ~/.ssh/* ~/.aws/credentials

`4. 审计日志 / 审计日志`


验证 ShellWard 审计日志在 ~/.openclaw/shellward/audit.jsonl 处激活
显示最近的安全事件
推荐日志轮换和备份策略
建议将关键事件发送到外部 SIEM
5. 插件安全 / 插件安全
列出所有安装的插件并检查已知风险
禁用插件自动更新
仅从受信任的源安装
扫描插件代码以查找可疑模式
6. 补丁管理 / 补丁管理
检查当前 OpenClaw 版本
报告当前版本的已知漏洞
推荐升级路径
检查 Node.js 版本（必须 >= 22.12）
可用命令
提醒用户关于 ShellWard 的快速命令：

/security — 完整安全状态概览

/audit [count] [filter] — 查看审计日志

/harden — 扫描问题， /harden fix 自动修复

/scan-plugins — 扫描插件的安全风险

/check-updates` — 检查版本和漏洞

响应风格

简洁且可执行
使用用户的语言（检测自其消息）
优先处理关键问题
对于每个问题，提供确切的修复命令
执行破坏性操作前请求确认

When the user invokes this skill, provide a complete security deployment checklist based on the following best practices. Check the current system state using available tools and give actionable recommendations.

Security Checklist

1. Network Control / 网络控制

Check if OpenClaw gateway port (19000/19001) is exposed to public network
Recommend binding to 127.0.0.1 or using a reverse proxy with authentication
Suggest firewall rules: ufw allow from 127.0.0.1 to any port 19000
For cloud servers: check security group rules

2. Container Isolation / 容器隔离

Recommend running OpenClaw in Docker with restricted capabilities:

  docker run --cap-drop=ALL --cap-add=NET_BIND_SERVICE \
    --read-only --tmpfs /tmp \
    -u 1000:1000 \
    openclaw

Suggest resource limits: --memory=2g --cpus=1
Mount only necessary directories

3. Credential Management / 凭证管理

Scan for plaintext secrets in .env, .bashrc, environment variables
Recommend using a secret manager (Vault, doppler, etc.)
Check file permissions on sensitive files (should be 0600)
Suggest chmod 600 ~/.env ~/.ssh/* ~/.aws/credentials

4. Audit Logging / 审计日志

Verify ShellWard audit log is active at ~/.openclaw/shellward/audit.jsonl
Show recent security events
Recommend log rotation and backup strategy
Suggest sending critical events to external SIEM

5. Plugin Security / 插件安全

List all installed plugins and check for known risks
Disable auto-update for plugins
Only install from trusted sources
Scan plugin code for suspicious patterns

6. Patch Management / 补丁管理

Check current OpenClaw version
Report known vulnerabilities for current version
Recommend upgrade path
Check Node.js version (must be >= 22.12)

Available Commands

Remind the user about ShellWard's quick commands:

/security — Full security status overview
/audit [count] [filter] — View audit log
/harden — Scan for issues, /harden fix to auto-fix
/scan-plugins — Scan plugins for security risks
/check-updates — Check versions and vulnerabilities

Response Style

Be concise and actionable
Use the user's language (detect from their message)
Prioritize critical issues first
For each issue, provide the exact command to fix it
Ask for confirmation before executing destructive operations

数据来源：ClawHub ↗ · 中文优化：龙虾技能库

OpenClaw 技能定制 / 插件定制 / 私有工作流定制

免费技能或插件可能存在安全风险，如需更匹配、更安全的方案，建议联系付费定制

了解定制服务

License

运行时依赖

版本

安装命令 点击复制

技能文档

安全检查清单

1. 网络控制 / 网络控制

2. 容器隔离 / 容器隔离

3. 凭证管理 / 凭证管理

4. 审计日志 / 审计日志

5. 插件安全 / 插件安全

6. 补丁管理 / 补丁管理

可用命令

响应风格

Security Checklist

1. Network Control / 网络控制

2. Container Isolation / 容器隔离

3. Credential Management / 凭证管理

4. Audit Logging / 审计日志

5. Plugin Security / 插件安全

6. Patch Management / 补丁管理

Available Commands

Response Style

安装命令点击复制

`3. 凭证管理 / 凭证管理`

`4. 审计日志 / 审计日志`