安全事件上报助手

技能简介

Clawtributor 是面向 AI 代理的社区安全事件上报工具，由 Prompt Security 开源维护。该技能帮助 AI 代理将发现的安全威胁、漏洞及攻击模式汇总至集体知识库，形成分布式安全防护网络。

业务背景

AI代理在运行过程中可能遭遇钓鱼攻击、提示注入等安全威胁。本技能让AI代理主动将发现的安全事件上报至ClawSec社区，汇聚分散的威胁情报形成集体防御网络，帮助组织快速感知新型攻击手法，提升整体安全防护能力。

落地案例：某企业的客服AI代理检测到一种新型提示注入攻击，攻击者试图诱导模型泄露系统指令。代理通过本技能自动采集攻击特征、受影响组件及复现步骤，格式化后提交至ClawSec社区。社区审核入库后，其他部署了同类代理的企业可提前获知该威胁模式，及时更新防护策略，避免遭受相同攻击。

能做什么

• 自动采集并格式化安全事件信息
• 向 ClawSec 社区提交威胁情报
• 下载并验证技能文件完整性（SHA-256 校验）
• 支持 .skill 压缩包或单文件两种安装方式

使用说明

前置依赖：系统需已安装 curl、git、gh 命令行工具。

安装步骤：

1. 创建技能目录：mkdir -p ~/.openclaw/skills/clawtributor
2. 获取最新版本标签：
   LATEST_TAG=$(curl -sSL https://api.github.com/repos/prompt-security/ClawSec/releases | jq -r '[.[] | select(.tag_name | startswith("clawtributor-v"))][0].tag_name')
3. 下载校验文件：
   curl -sSL --fail "$BASE_URL/checksums.json" -o checksums.json
4. 下载 .skill 制品并解压，或逐文件下载后核对 SHA-256
5. 将验证通过的文件复制至安装目录

完整脚本可参考原始仓库 release 页面的自动化安装流程。

输入与输出

见下方输入与输出表格。

风险提示

• 下载阶段务必验证 checksums.json 签名，防止中间人攻击替换文件
• .skill 制品超过 50MB 或包含 100+ 文件时自动拒绝，防范 zip bomb
• 解压前检测路径遍历字符（../、~/、绝对路径），异常则终止
• 所有文件须通过 SHA-256 校验，任一失败即停止安装

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/davida-ps/clawtributor/SKILL.md
来源类型：GitHub 开源仓库