openclaw-vulnerability-checker

OpenClaw 安全漏洞检查与配置审计工具。用于检测当前 OpenClaw 版本存在的已知安全漏洞、公网访问安全风险,对比当前版本与最新版本的差异,获取漏洞详情、风险评估、配置审计和升级建议。使用场景:(1) 用户询问"检查一下我的 OpenClaw 版本有什么安全漏洞",(2) 用户说"检查 OpenClaw 安全问题",(3) 用户想了解当前版本的漏洞风险时自动触发,(4) 用户问"最新版本有什么更新"或"对比版本差异",(5) 用户询问"OpenClaw 是否开启了公网访问"。

Safety Notice

This listing is from the official public ClawHub registry. Review SKILL.md and referenced scripts before running.

Copy this and send it to your AI assistant to learn

Install skill "openclaw-vulnerability-checker" with this command: npx skills add hzzhuohui/openclaw-vulnerability-checker

OpenClow Vulnerability Checker

Overview

帮助用户检测 OpenClaw 当前的已知安全漏洞,对比当前版本与最新版本的差异,获取漏洞详情、风险评估、版本更新内容和修复建议,确保 OpenClaw 运行在安全状态并了解最新功能。

Workflow

Step 1: 获取当前版本

运行 openclaw --version 获取当前安装的 OpenClow 版本号和 commit hash。

示例:

OpenClaw 2026.3.8 (3caab92)

提取版本号格式为 YYYY.M.D(如 2026.3.8),以及可能存在的 commit hash。

Step 2: 查询漏洞列表

从多个数据源查询 OpenClaw 的安全漏洞信息:

优先级顺序:

  1. GitHub Security Advisories(如果用户提供了 GitHub token)

    • 使用 GitHub API 查询:https://api.github.com/repos/openclaw/openclaw/security/advisories
    • 优点:官方、结构化、包含修复版本信息
    • 需要:GitHub Personal Access Token(有 repo 权限)

  2. CNNVD(中国国家信息安全漏洞库)

    • 通过 web_fetch 搜索相关页面
    • 关注 "OpenClaw"、"openclaw" 相关漏洞条目
    • 示例:微信公众号文章如提供的链接

  3. NVD(National Vulnerability Database)

    • CVE 数据库查询
    • URL: https://nvd.nist.gov/vuln/search/results?form_basic_search=&results_type=overview&search_type=all&query=OpenClaw

  4. 本地漏洞数据库 - references/vulnerabilities.md

    • 手动维护的已知漏洞列表
    • 格式:版本范围、CVE ID、CVSS 评分、简介、修复版本、缓解措施

Step 3: 匹配漏洞

对比当前版本与漏洞信息:

漏洞筛选规则:

  1. 检查漏洞影响的版本范围
  2. 确认当前版本是否在影响范围内
  3. 验证是否有修复版本已经修复该漏洞
  4. 如果修复版本存在但当前版本低于修复版本 → 漏洞未修复

版本比较逻辑:

  • OpenClaw 使用语义化版本 YYYY.M.DvX.Y.Z
  • 支持范围比较:< 2026.3.10 表示所有小于 2026.3.10 的版本都受影响
  • 支持特定版本:= 2026.3.8 表示仅该版本受影响

Step 4: 评估风险

对每个未修复漏洞进行风险评估:

风险等级判定:

  • 高危(Critical): CVSS 9.0-10.0 或远程代码执行(RCE)
  • 高(High): CVSS 7.0-8.9 或权限提升、敏感信息泄露
  • 中(Medium): CVSS 4.0-6.9 或拒绝服务、XSS
  • 低(Low): CVSS 0.1-3.9 或信息泄露等低影响

Step 5: 生成报告

输出结构化的安全报告,包含:

Step 6: 公网访问安全扫描(新增)

检查 OpenClaw 是否开启了不必要的公网访问,防止安全暴露。

检测项目:

  1. Gateway 绑定地址检查

    • 运行 openclaw gateway config.get --path gateway.bind
    • 检查是否绑定到 0.0.0.0(所有网络接口)
    • 检查是否绑定到公网 IP 地址
    • 安全建议:仅绑定到 127.0.0.1(本地回环)或局域网内网 IP

  2. 端口监听检查

    • 运行 lsof -i :3001netstat -an | grep 3001 检查默认端口
    • 检查其他可能的服务端口(如 3000, 8080 等)
    • 识别端口是否监听在 0.0.0.0 或公网 IP

  3. 隧道/反向代理检查

    • 检查是否配置了 Tailscale、ngrok、frp 等隧道服务
    • 运行 ps aux | grep -E "tailscale|ngrok|frp" 检查进程
    • 检查配置文件中的相关设置

  4. 防火墙规则检查

    • macOS: 检查 pfctl -sr | grep 3001
    • Linux: 检查 iptables -L -n | grep 3001
    • 确认是否有防火墙规则阻止公网访问

  5. Control UI 访问检查

    • 检查 openclaw gateway.config.get --path gateway.controlUI.bind
    • 确认控制台界面的绑定地址
    • 检查是否开启了认证(gateway.controlUI.auth.enabled

风险等级判定:

配置状态风险等级说明
绑定 127.0.0.1 + 开启认证🟢 安全仅本地访问,有认证保护
绑定局域网 IP + 开启认证🟡 中等内网访问,需确保网络边界安全
绑定 0.0.0.0 + 开启认证🟠 高暴露到所有网络,依赖认证
绑定公网 IP 或 0.0.0.0 + 无认证🔴 严重公网无保护访问,极高风险
启用公网隧道 + 无认证🔴 严重通过隧道绕过防火墙,极高风险

修复建议:

  • 立即修复(严重风险):

    1. 修改绑定地址:openclaw gateway config.patch --path gateway.bind --value 127.0.0.1
    2. 开启认证:openclaw gateway config.patch --path gateway.controlUI.auth.enabled --value true
    3. 停用隧道服务

  • 建议优化(中高风险):

    1. 添加防火墙规则限制访问 IP
    2. 启用 TLS/HTTPS(使用反向代理)
    3. 使用强密码或 API Token

Step 7: 生成完整报告

输出结构化的安全报告,版本更新信息,包含:

# OpenClaw 安全漏洞与配置审计报告

## 当前版本信息
- 版本: 2026.3.8 (commit: 3caab92)
- 检查时间: 2026-03-11 15:45:00

---

## 📊 风险概览

### 漏洞风险
- 🔴 高危漏洞: 1
- 🟠 高危漏洞: 0
- 🟡 中危漏洞: 2
- 🟢 低危漏洞: 0

### 配置安全风险
- 🔴 严重风险: [X] 项
- 🟠 高风险: [X] 项
- 🟡 中等风险: [X] 项
- 🟢 安全: [X] 项

---

## 🔐 公网访问安全扫描

### Gateway 配置
- **绑定地址**: 0.0.0.0:3001
- **风险等级**: 🟠 高
- **说明**: Gateway 监听在所有网络接口,可能导致公网访问

### Control UI 配置
- **绑定地址**: 127.0.0.1:3000
- **认证状态**: ✅ 已启用
- **风险等级**: 🟢 安全

### 端口监听
- **3000 端口**: 监听 127.0.0.1 ✅
- **3001 端口**: 监听 0.0.0.0 ⚠️

### 隧道服务
- **Tailscale**: 未检测到
- **ngrok**: 未检测到
- **frp**: 未检测到

### 修复建议
⚠️ **建议修复**:
1. 修改 Gateway 绑定地址为 `127.0.0.1`
   ```bash
   openclaw gateway config.patch --path gateway.bind --value 127.0.0.1
  1. 如需远程访问,请配置 TLS + 强认证

🐛 详细漏洞信息

🔴 [CVE-2025-XXXXX] 漏洞标题

CVSS 评分: 9.8 (高危) 影响版本: < 2026.3.10 修复版本: 2026.3.10 或更新

漏洞简介: 简述漏洞原理和影响...

潜在风险: 详细说明攻击场景和影响...

修复建议: ✅ 升级到 OpenClaw 2026.3.10 或更新版本 📥 升级命令: openclaw update

📈 升级建议

立即升级

发现 [X] 个高危/高等级漏洞,建议立即升级到最新版本 [最新版本号]。

配置优化

发现 [X] 个配置安全隐患,建议按照上述公网访问扫描部分的建议进行修复。


## 数据源参考

### GitHub Security Advisories

**获取方式:**

```bash
# 使用 curl + GitHub Token
curl -H "Authorization: token YOUR_GITHUB_TOKEN" \
  https://api.github.com/repos/openclaw/openclaw/security/advisories

响应格式示例:

{
  "ghsa_id": "GHSA-xxxxx",
  "summary": "漏洞标题",
  "severity": "high",
  "cvss": {
    "score": 9.8,
    "vector_string": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H"
  },
  "affected": [
    {
      "package": {
        "ecosystem": "npm",
        "name": "openclaw"
      },
      "ranges": [
        {
          "type": "SEMVER",
          "events": [
            {"introduced": "0"},
            {"fixed": "2026.3.10"}
          ]
        }
      ]
    }
  ],
  "published_at": "2025-12-15T10:00:00Z",
  "updated_at": "2025-12-15T10:00:00Z",
  "references": [
    {"url": "https://github.com/openclaw/openclaw/pull/XXX"}
  ]
}

CNNVD(国家信息安全漏洞库)

通过 web_fetch 获取页面内容,解析 XML/JSON 返回。

CVE 数据库

NVD API v2.0 文档:https://nvd.nist.gov/developers/request-an-api-key

脚本使用

获取版本信息

# 获取版本号
openclaw --version

检查升级

# 检查是否有更新可用
openclaw update run

版本对比功能

使用内置脚本获取版本更新对比:

# 查看当前版本与最新版本的对比(Markdown 格式)
python scripts/get_releases.py --current-version 2026.3.8 --format markdown

# 查看 JSON 格式的完整 releases 信息
python scripts/get_releases.py --current-version 2026.3.8 --format json

# 无需指定版本,输出所有可用版本列表
python scripts/get_releases.py --format markdown

版本对比工作流程:

  1. 从 GitHub API 获取最新的 OpenClaw releases 列表(无需认证,公开 API)
  2. 提取每个版本的 release note,解析 Changes、Fixes、Breaking Changes
  3. 对比当前版本与最新版本,识别:
    • 是否有新版本可用
    • 新版本包含的功能更新
    • 新版本修复的 bug
    • Breaking Changes(需特别注意)
  4. 生成人类可读的报告

报告格式示例:

# 版本对比报告

**当前版本**: 2026.3.2
**检查时间**: 2026-03-11 16:00:00

## 🎯 发现新版本

**最新版本**: 2026.3.8
**发布日期**: 2026-03-09

### ✨ 新功能 (8 项)
- CLI/backup: 添加备份创建和验证功能...
- Talk mode: 添加可配置的静音超时...
- TUI: 自动推断当前工作区的活跃 agent...

### 🐛 Bug 修复 (25+ 项)
- macOS app/chat UI: 修复路由问题...
- Telegram/DM routing: 修复重复消息...
- Android/Play distribution: 移除权限...

### ⚠️  Breaking Changes (1 项)
- Gateway auth: 需要显式配置 gateway.auth.mode...

## 📊 建议升级

✅ 推荐升级到 2026.3.8

升级命令:
```bash
openclaw update run


## 注意事项

1. **GitHub API 限制**:无认证情况下每分钟 60 次请求,有 token 每小时 5000 次
2. **数据来源优先级**:GitHub > CNNVD > NVD > 本地数据库
3. **版本比较**:OpenClaw 使用年月日版本格式,注意与 semver 的兼容性
4. **建议谨慎报告**:确认漏洞信息准确后再通知用户,避免误报
5. **公网访问扫描需要权限**:某些网络检测命令可能需要管理员权限(sudo),请在检测前告知用户

---

## 公网访问安全扫描命令参考

### 检查 Gateway 配置

```bash
# 查看绑定地址
openclaw gateway config.get --path gateway.bind

# 查看 Control UI 绑定地址
openclaw gateway config.get --path gateway.controlUI.bind

# 查看认证状态
openclaw gateway config.get --path gateway.controlUI.auth.enabled

检查端口监听

# macOS/Linux 查看端口监听
lsof -i :3001
lsof -i :3000

# 或使用 netstat
netstat -an | grep 3001
netstat -an | grep 3000

检查隧道服务进程

# 检查常见隧道进程
ps aux | grep -E "tailscale|ngrok|frp|cloudflared"

# 检查 Tunnels 配置目录
ls -la ~/.config/ngrok/
ls -la ~/.local/share/tailscale/

检查防火墙规则

# macOS
pfctl -sr | grep 3001

# Linux (iptables)
iptables -L -n | grep 3001

# Linux (ufw)
ufw status

修复配置命令

# 修改 Gateway 绑定地址为本地
openclaw gateway config.patch --path gateway.bind --value 127.0.0.1

# 开启 Control UI 认证
openclaw gateway config.patch --path gateway.controlUI.auth.enabled --value true

# 重启 Gateway 使配置生效
openclaw gateway restart

安全检查最佳实践

  1. 生产环境

    • Gateway 仅绑定到 127.0.0.1
    • 使用反向代理(Nginx/Caddy)提供 TLS
    • 启用强认证或 API Token
    • 配置 WAF 规则防止攻击

  2. 开发环境

    • 可以绑定到局域网 IP 方便调试
    • 建议开启认证或使用防火墙白名单
    • 禁用公网隧道服务

  3. 远程访问场景

    • 优先使用 VPN(如 Tailscale)而非公网隧道
    • 如需隧道,确保端到端认证
    • 定期轮换访问凭证

版本历史

v1.0.1 (2026-03-24)

  • ✨ 新增:公网访问安全扫描功能
  • 🔍 检测项:Gateway 绑定、端口监听、隧道服务、防火墙规则、Control UI 认证
  • 📊 新增配置安全风险等级评估
  • 📝 更新报告模板,整合漏洞扫描和配置审计结果

v1.0.0 (2026-03-11)

  • 🎉 初始版本
  • ✅ 已知漏洞检测
  • 📈 版本对比功能
  • 📋 结构化安全报告生成

Source Transparency

This detail page is rendered from real SKILL.md content. Trust labels are metadata-based hints, not a safety guarantee.

Open Registry RecordOpen in ClawHub

Related Skills

Related by shared tags or category signals.

Security

Update Scout

Automate update tracking for OpenClaw and any other GitHub-released tools. Scout monitors your watchlist weekly, reviews release notes with a security lens,...

Registry SourceRecently Updated
2740Profile unavailable
Security

Security Check

🔒 Pre-installation security verification for external code and dependencies. Automated risk analysis for GitHub repos, npm packages, PyPI libraries, and she...

Registry SourceRecently Updated
3860Profile unavailable
Security

agent-bom

Open security scanner for agentic infrastructure — agents, MCP, packages, blast radius, runtime, and trust across MCP discovery, CVEs, SBOMs, CIS benchmarks...

Registry SourceRecently Updated
1.5K0Profile unavailable
Security

Vorim AI — Agent Identity & Trust

AI agent identity, permissions, trust scores, and audit trails via Vorim AI. Use when: (1) performing sensitive actions that need permission checks, (2) logg...

Registry SourceRecently Updated
190kzino