ZH-C020-042-auth-monitoring-device-code-phishing-fuse

简体中文

---

[ZH-C020-042] Auth Monitoring：Device Code Phishing Fuse

概述

该方案用于识别 OAuth Device Code 流程被钓鱼滥用的风险：通过身份事件、网络特征与令牌行为的关联分析，实现分钟级告警与阻断。

适用场景

• 同一用户在短时间内跨地区多次完成 device code 授权。
• 终端姿态（UA/ASN/设备信息）明显偏离历史基线。
• 授权后 API/令牌调用量异常上升。

在 OpenClaw 的实现步骤

1. 启用配置
   • 开启 cron、sessions_spawn、message。
   • 建立 1–5 分钟轮询任务抓取认证事件。
2. 获取 API
   • 申请 OIDC 身份提供方审计日志 API 凭证。
   • 接入反向代理/零信任网关事件 API Token。
3. 运维设置
   • 用 cron 拉取授权事件与令牌使用事件。
   • 用 sessions_spawn 分离“检测代理 + 验证子代理”。
   • 高风险时通过 sessions_send 触发用户复核与临时冻结令牌。

趋势信号（GitHub/Reddit + V2EX/GitHub CN）

• 英语社区：对“合法流程滥用”的检测规则讨论明显增多。
• 中文社区：企业零信任实践中，对授权日志关联分析需求上升。

实例链接

• X：准备中
• note：准备中
• GitHub：https://github.com/topics/oidc
• Moltbook：准备中

---

Registry ID: ZH-042 | Status: Draft-Verified | Language: Chinese