ClawSec套件管理

技能简介

ClawSec套件是OpenClaw生态的安全管理中心，集成安全公告订阅、加密签名验证、恶意技能响应审批及扩展安全技能引导安装功能。

业务背景

ClawSec套件为企业安全团队提供一站式技能安全管理能力。通过持续监控安全公告流，自动比对本地已安装技能与最新威胁情报，及时标记潜在风险；对确认恶意的技能发起移除建议并等待人工审批，避免误操作；同时作为扩展安全能力的统一入口，帮助团队快速获取并部署防护组件，降低安全管理复杂度。

落地案例：某企业运维团队日常管理大量自动化技能脚本。通过ClawSec套件，安全管理员每日查看安全公告订阅，发现某技能被标记为恶意后，系统推送移除建议至审批队列；负责人核对影响范围后显式批准执行卸载。新员工入职时，通过套件的动态目录一键引导安装合规的安全防护技能，无需手动搜索配置。

能做什么

• 监控ClawSec安全公告流，追踪新增威胁
• 交叉比对本地已安装技能与安全公告
• 对标记为恶意的技能建议移除，并需用户显式批准
• 作为其他ClawSec防护能力的安装入口
• 运行时动态发现可安装技能目录

使用说明

方式一：通过clawhub安装（推荐）

npx clawhub@latest install clawsec-suite

方式二：手动下载并验证签名

需预先设置版本号环境变量，执行完整校验流程：

VERSION="0.1.2"  # 替换为目标版本
INSTALL_ROOT="${INSTALL_ROOT:-$HOME/.openclaw/skills}"
# 后续步骤见完整脚本，包含公钥指纹校验、签名验证、哈希比对

启用守护钩子

SUITE_DIR="${INSTALL_ROOT:-$HOME/.openclaw/skills}/clawsec-suite"
node "$SUITE_DIR/scripts/setup_advisory_hook.mjs"

查看动态技能目录

node "$SUITE_DIR/scripts/discover_skill_catalog.mjs"

输入与输出

见下方输入与输出表格。

风险提示

• 首次使用需离线索引核对发布公钥指纹
• 远程目录不可用时回退本地元数据，可能缺失最新技能
• 恶意技能移除操作需人工确认，避免误删
• 依赖curl/jq/shasum/openssl，缺失将导致验证失败

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/davida-ps/clawsec-suite/SKILL.md
来源类型：GitHub仓库