技能安全审计
检测恶意代码的安全分
技能简介
ClawSkillShield 是一款面向 OpenClaw/ClawHub 技能的本地优先安全扫描工具,采用纯 Python 开发,无需网络连接即可运行。该工具通过静态分析技术识别技能包中的安全风险与恶意代码模式,为开发者和用户提供可审计的开源防护层。
能做什么
- 扫描硬编码敏感信息(API 密钥、凭证、私钥)
- 识别危险导入模块(os、subprocess、socket、ctypes)
- 检测高风险调用(eval()、exec()、open())
- 发现混淆代码(base64 块、可疑编码)
- 标记硬编码 IP 地址
- 生成 0-10 分风险评分与详细威胁报告
- 自动隔离高风险技能包
使用说明
安装指令:
pip install -e .CLI 用法(人工操作):
clawskillshield scan-local /path/to/skill
clawskillshield quarantine /path/to/skillPython API 用法(智能体集成):
from clawskillshield import scan_local, quarantine
threats = scan_local("/path/to/skill")
if risk_score < 4: # 高风险阈值
quarantine("/path/to/skill")输入与输出
见下方输入与输出表格。
| 项目 | 内容 |
|---|---|
| 输入 | 本地技能包目录路径;可选风险阈值参数(默认4分) |
| 输出 | 威胁检测结果列表、0-10分风险评分、详细报告文本、隔离操作确认 |
| 适用人群 | 技能开发者、平台运维、安全审计人员、自动化智能体开发者 |
| 不包含 | 网络威胁情报、动态沙箱分析、二进制逆向、图形化配置界面 |
风险提示
- 风险评分低于 4 分的技能将被判定为高风险,建议立即隔离
- 扫描结果仅供参考,不可替代人工代码审计
- 隔离操作会移动或限制技能文件访问权限,请提前备份重要数据
- 工具本身需从可信渠道获取,防止供应链攻击
来源信息
原始链接:https://github.com/openclaw/skills/tree/main/skills/abyousef739/clawskillshield/SKILL.md
来源类型:GitHub 仓库
数据统计
相关导航
智能体入侵检测
AI代理安全扫描与隔
男性心理健康助手
情绪检查与压力管理工
安全监控守护
Clawdbot实时
恶意计算器检测
识别伪装计算器的安全
1Password CLI配置
密码管理命令行工具设
Elixir开发助手
Elixir/Pho
AI安全扫描器
主动防护型AI安全检
暂无评论...