安全审计技能
Clawdbot技能
技能简介
该技能用于在本地扫描 OpenBot/Clawdbot 技能包,识别潜在的安全隐患。通过静态代码分析,发现凭证外泄、可疑网络请求、混淆代码、提示注入等风险模式。
业务背景
企业在引入第三方AI技能时面临代码安全风险,恶意行为可能导致数据泄露或系统入侵。该扫描器通过静态分析快速识别凭证外泄、可疑网络请求、混淆代码及提示注入等威胁模式,为技术决策者提供可量化的安全评级,降低供应链安全风险。
落地案例:IT管理员收到外部供应商提供的客服技能包,执行扫描命令后获得REVIEW评级,报告提示存在未加密的环境变量读取行为。管理员据此要求供应商补充说明,确认属正常业务逻辑后批准安装;若遇SUSPICIOUS评级则直接阻断,避免潜在的数据外联风险进入生产环境。
能做什么
- 扫描本地技能文件夹的安全漏洞
- 检测恶意代码和可疑行为模式
- 识别凭证窃取和网络外联行为
- 发现提示注入攻击向量
- 输出分级风险评估报告
使用说明
- 克隆技能仓库到本地:
git clone https://github.com/openclaw/skills.git - 进入扫描脚本目录:
cd skills/hugosbl/ai-skill-scanner - 执行扫描命令:
python3 scripts/scan.py /path/to/target-skill - 查看详细结果(推荐):
python3 scripts/scan.py /path/to/target-skill --verbose - 获取 JSON 格式输出:
python3 scripts/scan.py /path/to/target-skill --json
扫描完成后,根据评分等级决定安装:CLEAN/INFO 可安装;REVIEW 需人工复核;SUSPICIOUS/DANGEROUS 禁止安装。
输入与输出
见下方输入与输出表格。
| 项目 | 内容 |
|---|---|
| 输入 | 本地技能文件夹路径;可选参数 –verbose(显示匹配行)、–json(JSON 输出) |
| 输出 | 五级安全评分(CLEAN/INFO/REVIEW/SUSPICIOUS/DANGEROUS);风险详情与代码位置;退出状态码 0-3 |
| 适用人群 | 安装第三方技能前的终端用户;技能发布前的开发者自检;企业内控的安全审核人员 |
| 不包含 | 运行时沙箱分析;依赖库漏洞扫描;官方签名认证;自动隔离或删除功能 |
风险提示
- 基于模式匹配,无法识别全部混淆技术
- 仅静态扫描,无运行时行为分析
- 合法工具可能触发误报
- HIGH/MEDIUM 级别发现必须配合人工复核
- 不能替代完整的安全审计流程
来源信息
原始链接:https://github.com/openclaw/skills/tree/main/skills/hugosbl/ai-skill-scanner/SKILL.md
来源类型:GitHub 仓库
数据统计
相关导航
KIMI任务代理
强制代理所有推理与代
德州扑克AI对战
多智能体扑克博弈系统
安全扫描发布工具
第三方代码静态安全分
混沌实验室
多智能体对齐冲突研究
GitHub PR本地处理
本地拉取预览合并测试
安全研究复制
安全研究技能模板
3D虚拟交易空间
AI代理共存的3D金
暂无评论...