技能安全扫描器

技能简介

skill-scanner 是一款面向 Clawdbot 和 MCP 技能的安全审计工具，用于在安装前扫描技能包中的恶意代码、间谍软件、加密货币挖矿程序及其他可疑行为模式。

业务背景

在引入第三方技能前快速排查安全隐患，防止恶意代码、数据窃取或挖矿程序混入生产环境。通过自动化扫描降低人工审计成本，让业务团队敢用、会用外部技能，同时满足基础安全合规要求。

落地案例：某运营团队计划上线一款市场数据分析技能。安全专员使用技能安全扫描器对该技能包进行预检，系统自动标记出两处可疑的网络请求代码和一处混淆脚本。团队据此要求供应商澄清代码用途，确认无害后再部署，避免了潜在的数据外泄风险。

能做什么

• 扫描技能文件夹，识别安全威胁
• 检测数据外泄代码模式
• 发现系统修改企图
• 标记加密货币挖矿特征
• 识别任意代码执行风险
• 查找后门与代码混淆技术
• 输出 Markdown 或 JSON 格式报告
• 通过 Streamlit 提供 Web 操作界面

使用说明

安装准备

本工具基于 Python 标准库开发，无需额外依赖。如需使用 Web 界面，需单独安装 Streamlit：

pip install streamlit

命令行使用

python skill_scanner.py /path/to/skill-folder

Clawdbot 内调用

"Scan the [skill-name] skill for security issues using skill-scanner"
"Use skill-scanner to check the youtube-watcher skill"
"Run a security audit on the remotion skill"

启动 Web 界面

streamlit run streamlit_ui.py

输入与输出

见下方输入与输出表格。

风险提示

• 扫描结果仅供参考，不能替代专业安全审计
• 新型攻击手法可能存在漏报情况
• 建议结合人工代码审查使用
• Web 界面暴露时需控制访问权限

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/bvinci1-design/skill-scanner/SKILL.md
来源类型：GitHub 仓库