龙虾卫士详解：OpenClaw 的双语安全审计员与防护盾

OpenClaw 是一个模块化的人工智能代理框架，允许用户加载技能、运行自动化任务，并通过社区贡献扩展功能。随着生态系统的壮大，攻击面也随之扩大。龙虾卫士（LobsterGuard）作为一项专用的安全技能应运而生，用于审计、加固并保护 OpenClaw 的安装实例。下文将深入介绍龙虾卫士的功能、工作原理，以及它对所有 OpenClaw 用户的重要性。

核心身份与目标

龙虾卫士自称是“OpenClaw 的双语安全审计员”。
“双语”一词指的是它能够根据用户的输入或简单提示，在英语和西班牙语之间切换，与用户进行交流。其主要使命是扫描主机系统和 OpenClaw 技能库中的安全弱点，以清晰、可操作的格式呈现发现的问题，并在获得用户明确同意的前提下，选择性地应用修复措施。

该技能当前版本为 6.1.0，由 GitHub 用户 jarb02
在 openclaw/skills 代码仓库中维护。
它采用开源许可证发布，鼓励社区审查与贡献。

龙虾卫士检查内容：六大类共 68 项测试

当被调用时，龙虾卫士会执行总计 68 项独立检查。这些检查被划分为六个逻辑类别，每类针对系统和 OpenClaw 安全的不同方面：

• 系统安全 – 检查防火墙规则（UFW）、通过 sysctl 设置的内核参数、核心转储配置以及临时目录的权限。
• OpenClaw 配置 – 审计文件权限、环境变量、技能清单文件，以及 OpenClaw 服务是否以专用的非 root 用户身份运行。
• 网络安全 – 扫描开放端口、暴露的服务，并在适用情况下验证 SSL/TLS 配置。
• OWASP 智能体人工智能十大风险 – 直接对应 OWASP 针对智能体人工智能系统的十大安全风险，涵盖提示注入、工具投毒、恶意代理、不安全的输出处理、检索增强生成（RAG）数据投毒及相关威胁。
• 取证检测 – 查找篡改迹象、异常进程、未经授权的文件修改以及日志中的异常条目。
• 技能生态系统 – 评估第三方技能是否存在恶意行为、依赖项风险、过度权限请求以及版本不匹配等问题。

每项检查都会返回通过或失败状态。对于有对应修复方案的失败项，会标记 [自动修复] 标签，表明在用户批准后，龙虾卫士可自动执行纠正操作。

自动修复能力：十一项安全修复措施

在全部 68 项检查中，有 11 项支持自动修复。这些修复措施设计为低风险、可逆且透明。自动修复涵盖以下类别：

• 防火墙 – 配置 UFW，仅允许必要的端口进行入站和出站通信。
• 备份 – 为 OpenClaw 的数据和技能目录设置一个简单的自动备份脚本。
• 内核加固 – 应用 sysctl 调优，例如禁用 IP 转发、启用源路由验证以及加强内存保护。
• 核心转储保护 – 为不需要核心转储的服务禁用该功能，减少信息泄露风险。
• Auditd 日志记录 – 安装并配置 Linux 的审计守护进程（auditd），以增强系统活动追踪能力。