AI身份验证
反向验证码挑战验证对
技能简介
该技能为 OpenClaw/ClawHub 提供故障关闭(fail-closed)式安全审计,通过多层检测识别代码库中的潜在威胁,而非验证功能正确性。
能做什么
- 检测密钥与凭证泄露(trufflehog)
- 执行静态应用安全测试(semgrep)
- 识别提示注入信号、持久化机制与可疑构件
- 检查依赖项卫生状况
- 支持三级严格度配置(standard/strict/paranoid)
使用说明
安装依赖
# apt 方式
sudo apt install jq python3 trufflehog
python3 -m pip install --user pipx && python3 -m pipx ensurepath && pipx install semgrep
# 或 brew 方式
brew install jq trufflehog semgrep运行审计
bash scripts/run_audit_json.sh <路径>配置严格度
OPENCLAW_AUDIT_LEVEL=strict bash scripts/run_audit_json.sh <路径>输入与输出
见下方输入与输出表格。
| 项目 | 内容 |
|---|---|
| 输入 | 本地代码库路径;可选环境变量 OPENCLAW_AUDIT_LEVEL(standard/strict/paranoid) |
| 输出 | JSON 对象,含 ok 布尔值、tools 检测详情及各层失败原因 |
| 适用人群 | 平台运维人员、安全工程师、CI/CD 管理员 |
| 不包含 | 自动修复建议、动态运行时防护、业务功能测试 |
风险提示
- 任一检测层失败则整体审计结果为 FAIL
- 缺少 openclaw-skill.json 清单文件视为失败
- Docker 沙箱仅用于执行不可信代码,静态审计无需容器
- paranoid 级别可能产生较多误报
来源信息
原始链接:https://github.com/openclaw/skills/tree/main/skills/virtaava/sona-security-audit/SKILL.md
来源类型:GitHub 仓库
数据统计
相关导航
技能创建指南
Claude技能开发
技能查找助手
发现与安装智能体技能
ClawPoker安全通告
AI代理扑克平台安全
圣经道德引擎
AI基督教伦理对齐层
用量数据导出
OpenClaw用量
网络设备扫描
扫描局域网发现设备信
智能锻造工坊
自研扩展自动生成工具
暂无评论...