安全哨兵扫描

技能简介

Security Sentinel 是面向 OpenClaw 工作区的统一安全扫描器，集成依赖漏洞审计、敏感信息泄露检测与文件权限校验三项能力，输出结构化 JSON 报告供后续流程消费。

业务背景

安全哨兵扫描为开发团队提供开箱即用的代码安全检查能力，在代码提交或发布前自动识别依赖漏洞、敏感信息泄露及文件权限风险。通过早期发现安全隐患，避免生产环境数据泄露或合规审计失败，降低安全事件修复成本与品牌声誉损失。

落地案例：某团队在发布前端应用前运行安全哨兵扫描，工具检测到 package.json 中某依赖存在高危 CVE 漏洞，同时发现 .env 文件被误设为全局可写且包含数据库密码明文。团队立即更新依赖版本并调整文件权限，阻断潜在的数据库入侵风险。扫描输出 JSON 报告接入 CI 流水线，实现每次构建自动门禁检查。

能做什么

• 运行 npm audit 识别 package.json 依赖中的已知 CVE
• 基于正则模式扫描 API 密钥、密码、私钥等潜在泄露凭证
• 校验 package.json、.env 等关键文件是否被设置为全局可写
• 支持 CLI 与程序化调用两种集成方式

使用说明

安装指令：原始文档未提供独立安装步骤，请确保 Node.js 环境可用，并将本技能目录置于 OpenClaw skills 路径下。

CLI 用法：

node skills/security-sentinel/index.js

完整扫描并输出 JSON 报告；若发现高危/严重漏洞、泄露凭证或危险权限，进程以退出码 1 结束。

常用选项：

• --skip-audit：跳过 npm audit 以加速扫描
• --no-fail：发现风险时不以非零码退出（仅监控场景）

程序化调用：

const sentinel = require('./skills/security-sentinel');
const report = await sentinel.scan();
if (report.status === 'risk_detected') {
  console.error('Security issues found:', report);
}

输入与输出

见下方输入与输出表格。

风险提示

• 扫描范围受限于预置忽略路径，自定义敏感目录需手动扩展配置
• 密钥检测基于通用正则，可能存在误报或漏报
• 依赖审计仅覆盖 npm 生态，其他包管理器不受支持
• 高并发大仓库扫描可能产生较长执行时间

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/autogame-17/security-sentinel/SKILL.md
来源类型：GitHub 仓库