一键扫描OpenClaw AI高危漏洞、全自动漏洞安全基线检测工具
0x01 工具介绍
OpenClaw 作为热门 AI 网关,配置疏漏、网络暴露、弱认证等高危漏洞频发,极易引发权限失控与数据泄露。dejavu 作为其专属安全基线检测工具,零依赖跨平台运行,覆盖 9 大安全模块,可一键速查高危风险、输出量化评分与结构化报告,支持自动修复与 CI/CD 集成,快速筑牢 AI 网关安全防线。
注意:现在只对常读和星标的公众号才展示大图推送,建议大家把渗透安全HackTwo"设为星标⭐️"否则可能就看不到了啦!
下载地址在末尾 #渗透安全HackTwo
0x02 功能介绍
✨主要功能
|
特性 |
说明 |
|---|---|
|
🔍 9 大检查模块 |
config · skills · network · proxy · runtime · auth · deps · hostaudit · dlp |
|
💻 双平台支持 |
Bash 4.0+(Linux/macOS)+ PowerShell 5.1+(Windows 10/11) |
|
🤖 AI 深度审计 |
配套 3 套 LLM Prompt,扫描报告自动送入 AI 二次研判 |
|
📊 量化评分 |
模块加权总评,100 分制,输出风险等级(LOW / MEDIUM / HIGH / CRITICAL) |
|
🔧 自动修复 |
--fix
模式一键修复低风险配置问题 |
|
📄 多格式报告 |
Markdown / JSON(支持 |
|
⚙️ CI/CD 友好 |
语义化退出码,开箱即用的 GitHub Actions 配置 |
|
🔧 智能文件名 |
JSON 报告自动处理文件名,避免重复扩展名 |
|
🚫 零依赖 |
纯 Shell/PowerShell 实现,无需额外安装任何工具 |
检查项目
|
检查项 |
触发条件 |
修复动作 |
类型 |
|---|---|---|---|
| C1.5
配置文件权限 |
openclaw.json
对 group/other 可读 |
chmod 600 openclaw.json |
✅ 立即执行 |
| C1.5a
world-writable 文件 |
项目内 |
chmod o-w
批量移除 write 位 |
✅ 立即执行 |
| N3.1
网关端口暴露 |
端口 18789 绑定到 |
打印 |
💡 仅提示 |
| R5.1
未启用认证 |
gateway.auth.mode
为 |
打印配置修改建议: |
💡 仅提示 |
| R5.2
网关绑定全接口 |
gateway.bind
为 |
打印配置修改建议: |
💡 仅提示 |
| A6.1
Token 强度不足 |
认证 token 长度 < 32 字符 |
打印 |
💡 仅提示 |
| D7.1
npm 高危依赖 |
npm audit
存在 CRITICAL 漏洞 |
打印 |
💡 仅提示 |
| D7.2
Node.js 版本过旧 |
Node.js 版本 EOL(≤18、19、21) |
打印 |
💡 仅提示 |
| D7.3
恶意 skill 签名命中 |
命中 |
打印 |
💡 仅提示 |
| I9.3b
配置文件权限(DLP) |
openclaw.json
权限非 600 |
chmod 600 openclaw.json |
✅ 立即执行 |
注意:C1.3(硬编码密钥)、C1.4(SOUL.md 注入)、C1.6(危险标志)、N3.2(浏览器控制端口)等高风险项需要人工审查,
--fix不会自动处理。
常见问题:若运行时出现
line 1: #!/usr/bin/env bash: No such file or directory,说明脚本含 Windows CRLF 换行符,执行上方dos2unix或sed命令修复后重试。
0x03 更新介绍
✅ OpenClaw AI 网关安全基线检查✅ 零依赖部署(Bash/PowerShell 双版本)✅ 9 大安全检测模块(配置/技能/网络/代理/运行时/认证/依赖/主机/DLP)✅ 自动化 CI/CD 集成支持
0x04 使用介绍
📦安装指南
Linux / macOS(Bash)
# 进入项目目录
cd dejavu-main
# ⚠️ 如果文件来自 Windows(CRLF 换行符),必须先转换,否则会报 "No such file or directory"
# 方法一:使用 dos2unix(推荐)
sudo apt-get install -y dos2unix && find . -name "*.sh" -exec dos2unix {} \;
# 方法二:无 dos2unix 时用 sed
find . -name "*.sh" -exec sed -i 's/\r//' {} \;
# ⚠️ 注意:参数格式更新为 --option(双横线)格式
# 旧格式 -d -c 等已废弃,请使用 --dir --checks 等新格式
# 授权执行
chmod +x dejavu.sh checks/*.sh lib/*.sh
# 全量检查(含运行时状态)
./dejavu.sh --dir /path/to/openclaw --runtime --verbose
# 仅检查指定模块
./dejavu.sh --dir /path/to/openclaw --checks network,auth,config
# 输出 Markdown 报告
./dejavu.sh --dir /path/to/openclaw --output markdown --report report.md
# 输出 JSON 报告(支持格式化输出)
./dejavu.sh --dir /path/to/openclaw --output json --report report.json
# 检查并自动修复低风险项
./dejavu.sh --dir /path/to/openclaw --fix
# 查看全部选项
./dejavu.sh --help
--fix 会修复的内容
--fix 是干运行(dry-run)模式:标有 ✅ 的项会直接执行变更,标有 💡 的项仅打印修复命令供参考,不会自动执行。Windows(PowerShell)
# 进入项目目录
Set-Location .\dejavu-main
# 如需解除执行策略限制(仅当前会话)
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass
# ⚠️ 注意:参数格式更新为 --option(双横线)格式
# 旧格式 -Dir -Checks 等已废弃,请使用 --dir --checks 等新格式
# 全量检查
.\dejavu.ps1 --dir "C:\Users\you\.openclaw"
# 指定模块 + 详细输出
.\dejavu.ps1 --dir "C:\Users\you\.openclaw" --checks "config,network,auth" --showdetails
# 输出 Markdown 报告
.\dejavu.ps1 --dir "C:\Users\you\.openclaw" --output markdown --report .\report.md
# 输出 JSON 报告(支持格式化输出)
.\dejavu.ps1 --dir "C:\Users\you\.openclaw" --output json --report .\report.json
# 自动修复模式
.\dejavu.ps1 --dir "C:\Users\you\.openclaw" --fix
# 查看帮助
.\dejavu.ps1 --help下载
公众号回复20260320获取下载
AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。
更多推荐
10
0- 0
已为社区贡献6条内容
所有评论(0)