🎯 做完你会得到
AI 扫描 5 万行代码,发现 23 个安全问题(3个高危),包含修复方案。密钥扫描发现 2 个硬编码 API Key。
🛠 需要什么
- healthcheck
- github
👤 适合谁
- 安全工程师
- 技术负责人
- 独立开发者
⚡ 效果预览
AI扫描发现:1个SQL注入漏洞+2个XSS+2个硬编码API Key+5个过时依赖。已自动修复SQL注入和API Key泄露,其余附修复建议
🔧 Step 0:先确认外部工具配置
⚠️ 本案例依赖外部工具(Telegram/Notion/飞书等),先确认已配置 👉 查看常用工具配置指南 →
真实应用
Reddit r/openclaw(2026.3.2 版本实测):“Run openclaw secrets audit —check to scan for plaintext and unresolved refs, then openclaw secrets apply to migrate secrets out of your config file.”
dev.to/ide.com:“Claude Code Security: reads code like a human security researcher, tracing data flows rather than just matching known threat patterns.”
前置条件
- OpenClaw 已安装(推荐 2026.3.2+)
- 项目代码库
- GitHub 已连接
安全扫描项
1. 密钥和敏感信息扫描
扫描项目中所有硬编码的密钥、密码、token:
- API Keys
- 数据库密码
- JWT Secret
- 私钥文件2. 常见漏洞扫描
检查以下安全问题:
- SQL 注入(用户输入直接拼接 SQL)
- XSS(用户输入未转义直接渲染)
- 路径遍历(文件路径未校验)
- CSRF(缺少 token 验证)
- 不安全的反序列化
- 硬编码凭据3. 依赖安全检查
检查 npm/PyPI/Gem 依赖:
- 已知漏洞(CVE)
- 过时的包版本
- 可疑的包(劫持/后门)4. 数据流追踪
追踪敏感数据(用户密码/支付信息/PII)的流向:
- 从输入源到存储
- 从存储到输出
- 是否有未加密传输
- 是否有未授权访问扫描报告示例
🔒 安全审计报告 项目:myapp | 代码量:52,000行 | 扫描时间:3分钟
🔴 高危(3个):
SQL 注入 —
src/api/users.js:47用户输入直接拼接到 SQL 查询 ✅ 已自动修复:改用参数化查询硬编码 API Key —
.env.exampleStripe Secret Key 意外提交到仓库 ✅ 已自动修复:迁移到环境变量 + 加入 .gitignore硬编码 JWT Secret —
src/config.js:12✅ 已自动修复:迁移到 secrets 管理器🟡 中危(5个):
- XSS 未转义输出 × 2
- 缺少 CSRF token × 1
- 过时的 lodash 版本(有 CVE)× 1
- 日志中记录了用户密码 × 1
🟢 低危(15个):
- 缺少 Content-Security-Policy 头
- Cookie 未设 HttpOnly
- …
总计:23个安全问题 | 3个已自动修复
预期结果
- 安全问题提前发现,不等到线上出事
- AI 自动修复简单问题(密钥泄露、参数化查询)
- 复杂问题附详细修复建议
- 每次提交前自动扫描
踩坑记录
误报太多
症状:AI 把变量名包含 “password” 的都标记为泄露。
解法:设置白名单路径和排除规则。AI 学习你的项目结构后误报会减少。
自动修复破坏功能
症状:AI 修复 SQL 注入后查询结果不对。
解法:自动修复后运行测试套件验证。修复后自动提交 PR,人工 Review 后合并。
不满意怎么调
- 只扫描不修复 → AI 只出报告,修复由你来做
- CI 集成 → 每次 PR 自动运行安全扫描
- 合规要求 → 按行业规范(PCI-DSS/HIPAA)定制扫描规则