代码安全审计

技能简介

该技能对代码库执行全面的安全审计与漏洞分析，覆盖注入缺陷、访问控制失效、硬编码密钥、不安全数据处理、认证弱点、LLM安全及隐私违规等风险领域。

业务背景

开发团队在代码上线前快速识别安全漏洞，降低生产环境被攻击风险。通过自动化扫描替代人工逐行审查，节省安全审计人力成本，帮助技术负责人建立标准化的代码安全基线，满足合规审计要求。

落地案例：某金融科技公司每周发布新版本前，使用该技能扫描核心交易模块。系统检测到支付接口存在SQL注入隐患和硬编码的数据库连接密钥，安全团队据此定位问题代码行，在发版前完成修复，避免潜在的资金损失与监管处罚。

能做什么

• 扫描代码中的SQL注入、XSS、命令注入等漏洞
• 识别硬编码的API密钥、密码、令牌等敏感信息
• 检测越权访问、IDOR、路径遍历等访问控制问题
• 审查SKILL.md文件中的指令注入与数据外泄风险
• 评估错误处理机制是否泄露敏感信息

使用说明

1. 用户需明确请求安全分析（如”请审计这段代码的安全性”）
2. 技能仅执行只读操作：目录遍历、文本搜索、文件读取
3. 分析结果以对话形式呈现，可选存储至.shield_security/目录
4. 禁止擅自修改、删除或写入文件

输入与输出

见下方输入与输出表格。

风险提示

• 本技能不修复漏洞，仅提供检测报告
• 无法保证检出所有安全问题，需结合人工复核
• 分析范围限于显式请求的代码或文件
• 部分检测依赖静态规则，可能存在误报

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/kylehuan/skill-security-audit/SKILL.md
来源类型：GitHub仓库