技能安全审查

技能简介

skill-vetter 是面向 AI Agent 的技能安全审查协议，用于在安装任何外部技能前执行系统性风险评估。该工具通过来源核查、代码审查、权限范围分析和风险分级四个步骤，帮助用户识别潜在的安全威胁。

能做什么

• 验证技能来源可信度（作者声誉、下载量、更新频率）
• 扫描代码中的高危操作（网络外联、凭证读取、系统命令执行等）
• 评估技能请求的权限范围是否合理
• 按四级标准输出风险评级与安装建议
• 生成结构化的审查报告供存档参考

使用说明

本技能为纯审查协议，无需安装。使用时按以下四步执行：

第一步：来源核查

确认技能来源渠道（ClawdHub/GitHub/其他）、作者身份、社区反馈及更新活跃度。

第二步：代码审查（强制）

逐文件阅读技能代码，对照红标清单排查：curl/wget 外联、凭证文件访问、base64 解码、eval/exec 动态执行、混淆代码、提权请求等。

第三步：权限范围评估

列出技能所需的文件读写路径、网络目标、执行命令，判断是否与声明功能匹配。

第四步：风险定级与决策

根据下表确定风险等级并执行对应动作：低风险直接安装，中风险完整审查后安装，高风险需人工确认，极高风险禁止安装。

输入与输出

见下方输入与输出表格。

风险提示

• 所有外部技能均须审查，无例外
• 涉及凭证、交易、系统配置的技能必须人工审批
• 发现红标操作应立即终止安装流程
• 审查记录应保存以备追溯

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/spclaudehome/skill-vetter/SKILL.md
来源类型：GitHub 仓库