安全技能安装器

技能简介

secure-install 为 ClawHub 技能提供安全的安装流程。它调用 ClawDex API（由 https://www.koi.ai/ 提供）对目标技能进行安全扫描，并根据返回的判定结果执行严格的安装规则。

业务背景

安全技能安装器为企业团队提供可信的技能安装保障。通过与ClawDex安全数据库联动，自动识别恶意、未知及安全三类技能状态，在阻断风险的同时保留业务灵活性，让开发者在引入外部能力时无需担心供应链安全问题。

落地案例：某技术团队需要安装第三方数据处理技能，输入技能名称后，系统自动向Koi.ai的ClawDex API发起扫描。若返回"benign"安全认证，则展示验证摘要并等待用户确认"Yes"后完成安装；若检测到恶意标记则直接拦截；如遇未知状态则明确提示风险并需二次授权，全程确保安装决策透明可控。

能做什么

• 自动查询 ClawDex API 获取技能安全状态
• 拦截标记为恶意的技能，阻止安装
• 对未知状态技能发出警告并请求用户明确授权
• 对安全技能展示验证结果并等待用户确认后安装

使用说明

安装前提

1. 确保已安装 clawhub 命令行工具
2. 环境需支持 TypeScript 运行时

使用方法

在对话中输入：

secure-install <skill-name>

系统会自动执行以下流程：

1. 调用 scanSkillApi 向 https://www.koi.ai/ 发送扫描请求
2. 解析返回的 verdict 字段：
   • malicious：立即阻断，报告安全警报
   • unknown：提示风险，询问是否明确批准
   • benign：确认安全，询问是否继续安装
3. 仅在获得用户明确”Yes”回复后，调用 executeClawhubInstall 执行安装

输入与输出

见下方输入与输出表格。

风险提示

• 该技能依赖外部 ClawDex API 的判定准确性，API 服务中断或误判可能影响安装决策
• 用户需自行承担对”unknown”状态技能授权安装的风险
• 网络连接异常可能导致扫描请求失败

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/smintlife/secure-install/SKILL.md
来源类型：GitHub 仓库