安全技能安装器
扫描并安全安装Cla
技能简介
这是一份在安装任何外部技能、代码或集成前必须执行的心理检查清单,帮助识别潜在的安全威胁。
能做什么
- 扫描代码中的危险模式(网络请求、命令执行、凭证访问等)
- 验证代码作者身份与可信度
- 评估技能的必要性与潜在风险范围
- 建立”默认拒绝”的安全决策习惯
使用说明
无需安装,直接按以下步骤执行:
- 下载待检查的技能代码到本地目录
- 在终端中进入该目录,运行以下grep命令排查风险:
# 检查网络请求 grep -r "curl\|wget\|http://\|https://" . # 检查命令执行 grep -r "bash\|sh -c\|eval" . # 检查命令替换 grep -r '\$(\|\`' . # 检查凭证访问 grep -r "env\|credentials\|api.key\|token" . # 检查编码混淆 grep -r "base64\|decode" . - 逐条回答清单中的五个核心问题
- 任一环节存疑则放弃安装
输入与输出
见下方输入与输出表格。
| 项目 | 内容 |
|---|---|
| 输入 | 待评估的外部技能代码文件;本地终端环境 |
| 输出 | 安全检查结论(建议安装/建议拒绝);识别的风险点列表 |
| 适用人群 | 需要为自身或他人把关技能安全性的用户;安全意识培训场景 |
| 不包含 | 自动化漏洞扫描引擎;动态行为分析;沙箱执行环境 |
风险提示
- 本清单依赖人工判断,无法自动拦截所有攻击
- 压缩或混淆代码应直接拒绝,不可心存侥幸
- 下载量和星级不能作为安全依据
- 社交工程攻击常伪装成”实用功能”
来源信息
原始链接:https://github.com/openclaw/skills/tree/main/skills/luluf0x/security-heuristics/SKILL.md
来源类型:GitHub仓库
数据统计
相关导航
代码安全审计
自动化漏洞扫描与风险
网页界面规范审查
UI代码合规检查工具
策略安全网关
OpenClaw技能
SanctifAI任务接口
人机协同安全审核AP
身份映射管理器
严格管理用户身份映射
技能安全审查
AI技能安装前安全检
供应链安全演示
AI编码供应链风险演
暂无评论...