上篇文章说到通过网络流量检测openclaw类智能体,那么除了网络方法之外,很容易想到的就是从终端上检测。
一、常见AI工具清单
和前文一样,我们首先枚举了国内外常见的AI工具(含开源工具)。
1.1 开源 AI 工具(7 个)
| 工具名称 | 来源 | 类型 |
|---|---|---|
| OpenClaw | OpenClaw (开源) | AI 智能体 |
| OpenCode | Anomaly Co. (开源) | AI 编程助手 |
| Hermes Agent | Nous Research | AI 智能体 |
| Open Interpreter | Open Interpreter (开源) | AI 智能体 |
| Aider | Aider (开源) | AI 编程助手 |
| Continue | Continue.dev (开源) | AI 编程助手 |
| Devin | Cognition (开源) | AI 编程助手 |
1.2 中国厂商 AI 工具(7 个)
| 工具名称 | 厂商 | 类型 |
|---|---|---|
| WindClaw | 万得 Wind | AI 智能体 |
| WorkBuddy | 腾讯云 | AI 智能体 |
| CodeBuddy | 腾讯云 | AI 编程助手 |
| Qwen-Code | 阿里云 | AI 编程助手 |
| Qoder | 阿里云 | AI 编程助手 |
| Trae | 字节跳动 (独立IDE) | AI 编程助手 |
| Kimi Code | 月之暗面 | AI 编程助手 |
1.3 国际 AI 工具(8 个)
| 工具名称 | 厂商/来源 | 类型 |
|---|---|---|
| Claude Code | Anthropic | AI 编程助手 |
| Cursor | Cursor.sh (独立IDE) | AI 编程助手 |
| Windsurf | Codeium (独立IDE) | AI 编程助手 |
| Codex | OpenAI | AI 编程助手 |
| Antigravity | Google (独立IDE) | AI 编程助手 |
| JetBrains Junie | JetBrains | AI 编程助手 |
| Augment | Augment | AI 编程助手 |
二、进程及目录检测
首先想到的就是通过进程名检测,但是遗憾的是很多工具非独立的进程,而是node.js或者python包的形式存在,因此我们可以检测npm/pip包名,或者检测进程执行时的命令行特征。
此外,绝大多数AI工具都会在当前用户的home目录下新增有特征的文件夹 如
~/.openclaw,这就给我们的检测带来的新的思路。
以下是枚举出的常见AI工具的进程特征和目录特征,如果你的EDR或者HIDS工具支持的话,可以直接加到特征库里。如果不支持也没有关系,我们在文末提供了面向 Linux 和 Windows的自动化检测脚本。
| AI工具名称 | 进程名 | npm/pip包名 | 特征目录 |
|---|---|---|---|
| OpenClaw | Node进程(命令行含openclaw) | npm: openclaw <br>pip: openclaw | ~/.openclaw/ |
| OpenCode | Go二进制(命令行含opencode)或Node进程 | npm: opencode-ai <br>pip: opencode-ai | ~/.config/opencode/, ~/.opencode/, ~/.local/share/opencode/ |
| Hermes Agent | Python进程(命令行含hermes) | pip: hermes-agent (通过uv安装) | ~/.hermes/ |
| Open Interpreter | Python进程(命令行含interpreter) | pip: open-interpreter | ~/.interpreter/ |
| Aider | Python进程(命令行含aider) | pip: aider-chat | ~/.aider/ |
| Continue | Node进程(命令行含cn) | npm: @continuedev/cli | ~/.continue/ |
| Devin | Python进程(命令行含devin) | pip: devin-cli | ~/.devin/ |
| WindClaw | Node进程(命令行含windclaw) | npm: windclaw | ~/.windclaw/ |
| WorkBuddy | Node进程(命令行含workbuddy) | npm: workbuddy | ~/.workbuddy/ |
| CodeBuddy | Node进程(命令行含codebuddy) | npm: @tencent-ai/codebuddy-code | ~/.codebuddy/ |
| Qwen-Code | Node进程(命令行含qwen) | npm: @qwen-code/qwen-code | ~/.qwen/ |
| Qoder | Node进程(命令行含qodercli) | npm: @qoder-ai/qodercli | ~/.qoder/ |
| Trae | Trae (独立IDE,Electron) | 独立IDE安装包 | ~/.trae/ |
| Kimi Code | Python进程(命令行含kimi) | pip: kimi-cli (通过uv安装) | ~/.kimi/ |
| Claude Code | Node进程(命令行含claude) | npm: @anthropic/claude-code | ~/.claude-code/, ~/.claude/ |
| Cursor | Cursor (独立IDE,Electron) | 独立IDE安装包 | ~/.cursor/ |
| Windsurf | Windsurf (独立IDE,Electron) | 独立IDE安装包 | ~/.codeium/windsurf/ |
| Codex | Node进程(命令行含codex) | npm: @openai/codex | ~/.codex/ |
| Antigravity | Antigravity (独立IDE) | 独立IDE安装包 | ~/.antigravity/ |
| JetBrains Junie | JetBrains IDE进程内 | JetBrains插件 | ~/.junie/ |
| Augment | Node进程(命令行含auggie) | npm: @augmentcode/auggie | ~/.augment/ |
进程名说明:
- 独立IDE:有独立可执行文件进程名(如
Trae、Cursor、Windsurf、Antigravity),基于 Electron 构建- CLI工具(Node.js):npm 安装的 CLI 工具,进程名显示为
node,命令行参数包含工具名(如claude、codex、cn、auggie、qwen)- CLI工具(Go):Go 编译的独立二进制,进程名即为工具名(如
opencode),也可通过 npm 安装(此时进程名显示为node)- CLI工具(Python):pip/uv 安装的 CLI 工具,进程名显示为
python,命令行参数包含工具名(如aider、interpreter、hermes、kimi、devin)- IDE插件:运行在宿主 IDE 进程内(如 JetBrains Junie 运行在 IntelliJ IDEA 进程内),可通过特征目录和环境变量检测
三、其他检测手段
3.1 特征端口
AI智能体类工具一般具备固定的特征端口,因此可以通过端口检测:
| 工具 | 端口 | 说明 |
|---|---|---|
| OpenClaw | 18789 | WebSocket Gateway(控制平面) |
| 18792 | Extension Relay(浏览器扩展控制) | |
| 18800-18899 | Managed Chromium CDP(自动化浏览器) | |
| 9090 | Dashboard Web UI | |
| 3000 | MCP SSE Server | |
| OpenCode | 4096 | HTTP API Server(opencode serve/opencode web 默认端口) |
| Codex | 1455 | OAuth auth callback(登录认证回调) |
说明:其他工具无固定特征端口:
- VS Code 扩展类工具运行在 VS Code Extension Host 进程内,无独立端口
- 独立 IDE 类工具的内部服务端口动态分配
- CLI 工具主要通过 API 调用远程服务,无本地监听端口
3.2 特征环境变量
此外,AI工具在运行时一般还会要求配置特殊的环境变量,这也为我们的检测提供了依据。
工具专属环境变量
| 工具 | 环境变量 | 说明 |
|---|---|---|
| OpenClaw | OPENCLAW_WORKSPACE | 工作空间路径 |
OPENCLAW_API_KEY | API 密钥 | |
OPENCLAW_GATEWAY_PORT | Gateway 端口配置 | |
| OpenCode | OPENCODE_CONFIG | 自定义配置文件路径 |
OPENCODE_SERVER_PASSWORD | HTTP Server 认证密码 | |
| Devin | DEVIN_API_TOKEN | API 认证令牌 |
DEVIN_ORG_ID | 组织 ID | |
| WorkBuddy | WORKBUDDY_API_KEY | API 密钥 |
WORKBUDDY_CONFIG | 配置路径 | |
| Qwen-Code | DASHSCOPE_API_KEY | 阼里云 DashScope API 密钥 |
QWEN_API_KEY | Qwen API 密钥 | |
| Qoder | QODER_PERSONAL_ACCESS_TOKEN | 个人访问令牌 |
| Kimi Code | MOONSHOT_API_KEY | 月之暗面 API 密钥 |
| Claude Code | CLAUDE_CODE_API_KEY | Claude Code 专属密钥 |
| Cursor | CURSOR_API_KEY | Cursor API 密钥 |
| Windsurf | CODEIUM_API_KEY | Codeium API 密钥 |
| JetBrains Junie | JUNIE_ANTHROPIC_API_KEY | Junie Anthropic 密钥 |
JUNIE_OPENAI_API_KEY | Junie OpenAI 密钥 | |
| Augment | AUGMENT_SESSION_AUTH | Augment 会话认证 |
通用 API 密钥环境变量
以下环境变量被多个工具共用,可作为辅助检测依据:
| 环境变量 | 使用工具 |
|---|---|
ANTHROPIC_API_KEY | Claude Code、OpenCode、Aider、Continue、Hermes Agent 等 |
OPENAI_API_KEY | OpenCode、Codex、Aider、Open Interpreter、Hermes Agent 等 |
OPENROUTER_API_KEY | Hermes Agent 等支持 OpenRouter 的工具 |
GOOGLE_API_KEY | Antigravity 等支持 Gemini 的工具 |
MINIMAX_API_KEY | Hermes Agent 等支持 MiniMax 的工具 |
说明:通用 API 密钥环境变量仅作为辅助依据,需结合其他检测手段(进程名、特征目录)综合判断