OpenClaw 强化工具

此技能提供了一个用户可选的强化工具，能够：

• 运行 OpenClaw 内置的安全审计（openclaw security audit --deep/--fix）。
• 运行工作区卫生检查（执行权限位、游离的.env文件、不安全的序列化模式等）。
• 仅在明确请求时应用安全的机械修复。
• 生成（并可选择性地应用）一个用于收紧运行时策略的Gateway配置补丁计划。

运行工具

脚本：

• skills_live/openclaw-hardener/scripts/hardener.py

示例：

# Read-only checks (recommended default)
python3 skills_live/openclaw-hardener/scripts/hardener.py check --all

# Only run OpenClaw built-in audit (deep)
python3 skills_live/openclaw-hardener/scripts/hardener.py check --openclaw

# Only run workspace checks
python3 skills_live/openclaw-hardener/scripts/hardener.py check --workspace

# Apply safe fixes (chmod/exec-bit cleanup + optionally openclaw audit --fix)
python3 skills_live/openclaw-hardener/scripts/hardener.py fix --all

# Generate a config.patch plan (prints JSON5 patch)
python3 skills_live/openclaw-hardener/scripts/hardener.py plan-config

# Apply the plan (requires a running gateway; uses `openclaw gateway call`)
python3 skills_live/openclaw-hardener/scripts/hardener.py apply-config

设计规则（请勿违反）

• 默认模式 = 仅检查。除非用户运行修复或应用配置命令，否则不更改任何文件/配置。
• 输出中不包含敏感信息。如果检查涉及读取敏感路径，必须对可能的令牌进行脱敏处理。
• 补丁计划必须明确。应用前始终展示补丁内容。

检查/修复内容

OpenClaw 内置安全审计

• 运行openclaw security audit --deep（修复模式下会附加--fix参数）。

工作区卫生管理（范围：工作区 + ~/.openclaw）

• 对~/.openclaw目录的权限合理性检查（基础检查）。
• 非可执行文件类型中出现的意外可执行权限位。
• 流浪.env文件（警告）并已追踪.env（失败）。
• 脚本中存在风险的反序列化/不安全模式（启发式检测）。

配置加固（可选方案）

生成一个保守的config.patch模板，重点关注：

• 收紧入站访问默认设置（配对/白名单，提及门控）仅在您选择启用时。
• 确保敏感日志脱敏功能已启用。

（具体键值取决于您的配置；此方案为尽力而为，需进行审核。）