CVE 分析

适用人群

适合：要先把一类重复任务跑出第一版结果的人、要把零散输入整理成更可执行结果的人、要让 AI 先代跑一遍流程再决定下一步的人。

技能介绍

‘分析 CVE 漏洞和扫描对象以确定误报、升级可行性和兼容性风险。当提供 CVE ID 和扫描目标（软件包、库、系统组件）时，用于评估：(1) 漏洞是否为误报，(2) 是否有可用的升级和推荐方案，(3) 升级可能带来的兼容性风险。’。

本技能提供对 CVE 漏洞和扫描对象的系统化分析，以确定误报、升级可行性和兼容性风险。它遵循结构化的工作流程来评估安全漏洞并提供可操作的建议。

业务背景和落地案例

当团队需要’分析 CVE 漏洞时，可以先用CVE 分析完成第一轮处理。常见做法是把相关文件、网址、素材或配置交给它，先产出初版结果，再由人工确认和继续推进。

能做什么

• 收集输入 → CVE ID 和扫描目标（包名、版本、环境详情）。
• 获取 CVE 详情 → 从 NVD 或其他来源检索漏洞信息。
• 误报分析 → 确定漏洞是否适用于特定的扫描目标。
• 升级可行性 → 检查可用的修复和升级。
• 兼容性风险评估 → 评估升级带来的风险。
• 生成建议 → 提供明确的操作项。

安装方法

方式 1：对 OpenClaw 说（不用写代码）

适合：OpenClaw、Codex、Kimiclaw、Windsurf、Trae、华为 CodeArts。

直接对 OpenClaw 说：

帮我安装一个叫 CVE 分析 的 Skill。
如果安装时需要精确名字，就用 agent-skills-cve-analysis。
装好以后，先用它帮我处理一遍当前任务。

如果需要手动安装，可以用这条命令：

clawhub install agent-skills-cve-analysis

方式 2：导入 MD 安装

适合：腾讯Workbuddy、百度Duclaw、字节Arkclaw、智谱Autoclaw、科大讯飞Astronclaw。

1. 找到这条 Skill 自带的 Markdown 文件，通常就是它的 SKILL.md 或同名 .md 文件。
2. 把这个 Markdown 文件导入到你的产品里。
3. 导入完成后，直接对 AI 说：

用刚刚导入的CVE 分析，先帮我处理当前任务。

备注：这一种本质上是导入一个 Markdown 文件，给知道安装包里有 .md 文件的人即可。

方式 3：代码安装

适合：Claude Code、Cursor、通义灵码、文心快码。

这条 Skill 没有整理出稳定的命令行安装写法，建议优先用方式 1 或方式 2。

使用步骤

1. 先选上面 3 种方式里，自己最容易完成的一种。
2. 安装完成后，直接对 OpenClaw 说：“用CVE 分析帮我处理当前任务。” 先让它自己跑一遍就可以。
3. 如果你已经有明确文件、网址、目录或数据，再把它补给 OpenClaw，让它只处理这一部分。
4. 先看第一轮结果，再决定要不要追加条件、缩小范围或继续执行下一步。
5. 如果这条 Skill 确实好用，就把它保留在常用列表，后面重复任务直接复用。

你需要准备什么

• 与你当前任务相关的文件、网址、目录或数据。
• 你最想先解决的问题或目标。
• 如果有格式或范围要求，也可以提前说明。
• 如果这条 Skill 依赖外部服务，还要准备对应账号权限或可用凭证。

你会看到什么结果

• 第一轮处理结果。
• 整理后的重点内容。
• 下一步可继续执行的建议。

风险提示

• 涉及 API Key、Token 或其他凭证时，先确认保存方式和权限边界。
• 依赖外部服务时，网络波动、配额限制或接口变化都会影响结果。

来源信息

• 公开页面地址: https://agentskillsrepo.com/skill/canxing/agent-skills-cve-analysis
• SKILL.md 下载地址: https://agentskillsrepo.com/skill/canxing/agent-skills-cve-analysis/download