安全决策报告
ctct-security-patrol
功能声明相对透明,但存在多维度隐私侵蚀设计:设备持久化指纹(agent_id)、MAC+主机名全量上报、完整Skill清单收集与长期关联,构成系统级隐私风险。代码本身无恶意行为但隐私设计激进。
最直接的威胁证据
高危 敏感访问
持久化设备指纹形成长期追踪能力 agent_id在首次--push时生成并永久写入~/.openclaw/.agent-id,跨会话复用。服务端可积累该设备的历史安全档案,实现设备指纹化追踪。
scripts/openclaw-hybrid-audit-changeway.js:1238 为什么得出这个结论
1/4 个维度触发 通过
声明与实际能力
声明资源与推断能力基本一致。
复核
隐藏执行与外联
提取到 2 个一般风险产物,需要结合上下文判断。
阻止
攻击链与高危发现
报告包含 0 步攻击链,另有 3 项高危或严重发现。
复核
依赖与供应链卫生
没有完整依赖信息,供应链判断需要保留弹性。
风险分是怎么被拉高的
持久化设备指纹设计 +15
agent_id写入~/.openclaw/.agent-id并跨会话复用,导致服务端积累设备历史档案
全量隐私数据上报 +15
--push模式将MAC地址、主机名、完整Skill清单全量POST至auth.ctct.cn,无数据最小化
签名机制无认证能力 +10
X-SIGN使用SHA-256(mac+hostname+timestamp+nonce)但无预共享密钥,服务端无法验证请求来源,仅起指纹作用
shadow文件哈希基线覆盖 +5
generateConfigBaseline覆盖/etc/shadow(仅哈希),虽合理但覆盖了最高敏文件
最关键的证据
高危 敏感访问
持久化设备指纹形成长期追踪能力
agent_id在首次--push时生成并永久写入~/.openclaw/.agent-id,跨会话复用。服务端可积累该设备的历史安全档案,实现设备指纹化追踪。
scripts/openclaw-hybrid-audit-changeway.js:1238 移除agent_id持久化设计,改为每次生成临时会话ID或完全不使用设备标识
高危 数据外泄
全量隐私数据上报外部服务器
--push模式下将MAC地址、主机名、完整Skill清单(包含slug/author/version/ownerId)全量POST至auth.ctct.cn,无数据最小化。Skill清单揭示本机工具组合,MAC+主机名实现设备唯一标识。
scripts/openclaw-hybrid-audit-changeway.js:1263 上报前做数据最小化处理(仅上传哈希摘要而非完整清单),或使用临时会话标识替代持久化agent_id
高危 文档欺骗
X-SIGN签名机制声明为'非设备认证'实际构成额外指纹
文档承认'此机制不构成设备身份认证',但X-SIGN=SHA-256(mac+hostname+timestamp+nonce)与MAC+主机名同时发送,实际上在服务端组合了更多设备标识信号。
SKILL.md:35 如果签名机制不提供认证价值,应移除或改为HMAC以提供真实完整性保护
中危 敏感访问
环境变量敏感关键字扫描(名称层面)
[3/14]通过/proc/{pid}/environ读取openclaw-gateway进程环境变量,匹配SECRET/TOKEN/PASSWORD/KEY/PRIVATE等关键字,命中结果(变量名)被记录进报告。虽然值已脱敏但变量名本身即构成敏感信息泄露。
scripts/openclaw-hybrid-audit-changeway.js:347 此扫描本身是安全工具的合理行为,但应在SKILL.md中明确声明'读取网关进程环境变量名(仅名称脱敏)'
中危 敏感访问
shadow文件哈希基线覆盖范围过广
generateConfigBaseline将/etc/shadow纳入哈希基线范围。虽然仅存哈希值(/etc/shadow内容不可逆),但覆盖最高权限凭证文件存在理论风险。
scripts/openclaw-hybrid-audit-changeway.js:262 排除/etc/shadow,或在SKILL.md中明确说明基线仅存哈希值无泄露风险
低危 供应链
无第三方依赖,代码自包含
Skill仅依赖Node.js内置模块(fs/path/os/crypto/child_process/http/https),无外部npm包依赖。代码不引入供应链风险。
scripts/openclaw-hybrid-audit-changeway.js:1 无需行动,依赖管理良好
声明能力 vs 实际能力
文件系统 通过
声明 READ
→ 推断 WRITE
scripts/openclaw-hybrid-audit-changeway.js:83 fs.writeFileSync写入报告、fs.writeFileSync写入agent-id、baseline 命令执行 通过
声明 WRITE
→ 推断 WRITE
17处spawnSync调用,命令白名单已声明,风险可控 网络访问 通过
声明 READ
→ 推断 WRITE
--push模式下POST至auth.ctct.cn,上报隐私数据 环境变量 通过
声明 NONE
→ 推断 READ
[3/14]读取/proc/{gwPid}/environ扫描SECRET/TOKEN/PASSWORD变量名(值脱敏但名称明文记录) 技能调用 通过
声明 NONE
→ 推断 READ
[5/14]扫描所有skill目录生成哈希基线,[14/14]枚举完整skill清单上报 浏览器 通过
声明 NONE
→ 推断 NONE
无浏览器相关代码 剪贴板 通过
声明 NONE
→ 推断 NONE
无剪贴板相关代码 数据库 通过
声明 NONE
→ 推断 NONE
无数据库相关代码 可疑产物与外联
中危 外部 URL
https://auth.ctct.cn:10020/changeway-open/api/pushAuditData SKILL.md:32
中危 外部 URL
https://auth.ctct.cn:10020/changeway-open/api/skills/assessment SKILL.md:33
依赖与供应链
没有结构化依赖告警。
文件构成
3 个文件 · 1973 行
JavaScript 1 个文件 · 1447 行Markdown 2 个文件 · 526 行
需关注文件 · 2
scripts/openclaw-hybrid-audit-changeway.js 持久化设备指纹形成长期追踪能力 · 全量隐私数据上报外部服务器 · 环境变量敏感关键字扫描(名称层面) · shadow文件哈希基线覆盖范围过广 · 无第三方依赖,代码自包含
SKILL.md X-SIGN签名机制声明为'非设备认证'实际构成额外指纹 · https://auth.ctct.cn:10020/changeway-open/api/pushAuditData · https://auth.ctct.cn:10020/changeway-open/api/skills/assessment
其他文件 · cron-setup.md
安全亮点
SKILL.md文档极为详细,用户交互流程完整,有明确的知情同意机制
shell命令执行使用严格白名单(15个固定命令名),Unix平台shell:false,注入风险低
命令参数均为硬编码数组,无用户输入拼接
敏感数据detail字段(完整命令输出)仅本地落盘不上报,data最小化原则(仅上传item+brief)
无eval/Base64解码/裸IP请求等混淆或恶意代码模式
无反向shell、凭证收割后外传等确认恶意行为
script头部有@integrity sha256注释用于完整性验证
cron命令中明确禁止--push,定时任务不自动上报
防重放机制(时间戳+nonce)虽无认证能力但有基本保护