「以前扫个站要开五个窗口,现在跟机器人聊两句就行。」

这是开发者 Denisijcu 提交给 OpenClaw 挑战赛的渗透测试项目。他把渗透测试的完整流程——目标验证、端口扫描、子域名枚举、漏洞关联、报告生成——全部塞进了一个 Telegram 机器人里。

用户只需在 Telegram 输入 /scan scanme.nmap.org,约 30 秒后就能收到一份完整的安全分析报告,包含 CVE 风险评分、WHOIS 信息、子域名枚举结果,无需终端操作,无需复制粘贴命令。

该项目实现了「闭环侦察编排」:从自然语言触发到结构化情报报告,整个周期自动运行,无需人工干预。流程为:用户 → Telegram → OpenClaw → 目标验证 → 侦察模块 → 大模型分析 → 报告生成 → 返回 Telegram。

以 scanme.nmap.org 为例,报告会指出目标暴露 2 个开放端口,均运行已停止维护的软件且存在已知 CVE。OpenSSH 6.6.1 和 Apache 2.4.7 均被标记为严重风险,建议立即修补或停用。