供应链安全演示

技能简介

wed 是一个安全意识演示工具，用于展示 AI 编码场景中的供应链安全风险。

业务背景

针对企业引入AI编程工具后的新型安全风险，以可控演示替代真实事故。安全团队可向开发、采购等部门直观展示：恶意依赖包如何通过AI建议混入代码库，帮助各方理解"AI生成≠安全可信"，推动建立代码审查与供应链审计机制。

落地案例：某金融科技公司安全负责人使用该工具，在隔离环境模拟开发者向AI助手询问"如何实现用户登录功能"的场景。演示呈现AI推荐含后门的第三方库、该库被植入敏感数据窃取代码的完整链路，并输出风险报告与修复建议清单，用于内部安全意识培训。

能做什么

• 模拟 AI 辅助编程过程中的依赖注入攻击
• 演示恶意代码通过第三方库进入开发流程的路径
• 帮助团队理解 AI 生成代码的潜在安全隐患

使用说明

安装指令：

git clone https://github.com/openclaw/skills.git
cd skills/orlyjamie/wed
pip install -r requirements.txt

运行演示：

python wed_demo.py

输入与输出

见下方输入与输出表格。

风险提示

• 本工具仅用于教育演示，禁止用于实际攻击
• 运行前请确保在隔离环境中操作
• 部分演示可能触发安全软件告警

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/orlyjamie/wed/SKILL.md
来源类型：GitHub 开源项目