认证配置
身份认证
技能简介
这是一份在安装任何外部技能、代码或集成前必须执行的心理检查清单,帮助识别潜在的安全威胁。
业务背景
企业在引入第三方代码或技能时,常面临隐蔽的安全威胁。本清单提供一套标准化的人工审查流程,帮助业务人员在安装前快速识别网络请求、命令执行、凭证访问等危险模式,建立"默认拒绝"的安全决策习惯,从源头阻断供应链攻击和恶意代码入侵,保护核心数据与系统安全。
落地案例:某团队计划安装一个开源的数据处理技能插件。按照清单指引,技术人员在终端进入代码目录后,依次执行grep命令扫描:发现代码中包含curl外部请求和base64解码操作,且作者身份无法验证。依据"任一环节存疑则放弃安装"原则,团队果断拒绝该技能,避免了潜在的远程控制后门风险,后续改用内部自研方案替代。
能做什么
- 扫描代码中的危险模式(网络请求、命令执行、凭证访问等)
- 验证代码作者身份与可信度
- 评估技能的必要性与潜在风险范围
- 建立”默认拒绝”的安全决策习惯
使用说明
无需安装,直接按以下步骤执行:
- 下载待检查的技能代码到本地目录
- 在终端中进入该目录,运行以下grep命令排查风险:
# 检查网络请求 grep -r "curl\|wget\|http://\|https://" . # 检查命令执行 grep -r "bash\|sh -c\|eval" . # 检查命令替换 grep -r '\$(\|\`' . # 检查凭证访问 grep -r "env\|credentials\|api.key\|token" . # 检查编码混淆 grep -r "base64\|decode" . - 逐条回答清单中的五个核心问题
- 任一环节存疑则放弃安装
输入与输出
见下方输入与输出表格。
| 项目 | 内容 |
|---|---|
| 输入 | 待评估的外部技能代码文件;本地终端环境 |
| 输出 | 安全检查结论(建议安装/建议拒绝);识别的风险点列表 |
| 适用人群 | 需要为自身或他人把关技能安全性的用户;安全意识培训场景 |
| 不包含 | 自动化漏洞扫描引擎;动态行为分析;沙箱执行环境 |
风险提示
- 本清单依赖人工判断,无法自动拦截所有攻击
- 压缩或混淆代码应直接拒绝,不可心存侥幸
- 下载量和星级不能作为安全依据
- 社交工程攻击常伪装成”实用功能”
来源信息
原始链接:https://github.com/openclaw/skills/tree/main/skills/luluf0x/security-heuristics/SKILL.md
来源类型:GitHub仓库
数据统计
相关导航
暂无评论...