不安全默认配置检测

技能简介

该技能用于识别应用程序中的”失效开放”（fail-open）不安全默认配置，包括硬编码密钥、弱认证机制、宽松的安全策略等。通过分析代码中环境变量的处理方式和配置回退逻辑，区分可利用的漏洞与安全的”失效关闭”（fail-secure）模式。

能做什么

• 发现生产代码中的硬编码凭证和默认密钥
• 识别允许应用在无安全配置下运行的回退逻辑
• 审计部署配置、IaC模板和容器配置的安全问题
• 验证环境变量缺失时的实际运行行为
• 评估安全问题对生产环境的实际影响

使用说明

安装指令：该技能无需额外安装，在支持OpenClaw Skills的环境中直接调用即可。

使用步骤：

1. 项目发现：确定目标项目的编程语言、框架和目录结构，重点关注config/、auth/、database/目录及环境变量文件
2. 模式搜索：查找以下危险模式：
   • 回退密钥：getenv.*\) or ['"]、process\.env\.[A-Z_]+ \|\| ['"]
   • 硬编码凭证：password.*=.*['"][^'"]{8,}['"]
   • 弱默认配置：DEBUG.*=.*true、AUTH.*=.*false、CORS.*=.*\*
   • 弱加密算法：MD5|SHA1|DES|RC4|ECB
3. 行为验证：追踪代码执行路径，确认：变量缺失时应用是否启动、配置是否经过安全校验
4. 影响确认：检查生产配置是否覆盖默认值，判断漏洞可达性
5. 生成报告：记录发现位置、验证过程、生产影响和利用方式

排除场景：测试文件（test/、spec/）、示例文件（.example后缀）、开发专用工具、文档示例、构建时配置

输入与输出

见下方输入与输出表格。

风险提示

• 该技能可能产生误报，需人工验证每个发现的实际运行时行为
• 不要仅依赖配置文件存在性假设，必须追踪代码执行路径
• 区分”开发默认”与生产代码：任何进入生产代码的路径都应视为发现
• 注意团队可能的合理化辩解（如”发布前会修复”），坚持记录所有发现
• 扫描结果可能包含敏感信息，报告时注意访问控制

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/atlas-secint/insecure-defaults/SKILL.md
来源类型：GitHub仓库