skills/odrobnik/skill-review

skill-review

🔎 ClawHub 安全扫描一键聚合

Oliver Drobnik 开发的 ClawHub 安全扫描抓取工具,自动汇总本地 skills 的安全状态、运行时需求及评论,生成结构化审查报告。

收藏
5.1k
安装
1.9k
版本
v0.2.4
CLS 安全性认证2026-05-07
点击查看完整报告 >

使用说明

核心用法

skill-review 是一款面向 ClawHub 平台开发者的安全审查辅助工具。用户通过命令行运行 Python 脚本,指定本地 skills 目录(默认为 ~/Developer/Skills)和 ClawHub 用户名,工具将自动枚举所有包含 SKILL.md 的本地技能文件夹,使用 Playwright 驱动的 Chromium 浏览器访问对应的 ClawHub 页面,抓取 VirusTotal 安全扫描状态、OpenClaw 置信度评估、运行时依赖要求及用户评论,最终生成一份结构化的 Markdown 报告保存至 /tmp// 目录。

显著优点

1. 自动化安全审计:将原本需要手动逐个查看的 ClawHub 安全信息聚合为单份报告,大幅提升多技能管理效率。
2. 精准信息提取:针对 ClawHub 页面结构优化,能准确解析 Security Scan、Runtime Requirements、Comments 三大核心区块。
3. 灵活映射支持:通过 --slug-map 参数解决本地文件夹名与 ClawHub slug 不一致的常见问题,适配复杂项目结构。
4. 透明可信:完全开源,代码结构清晰、类型注解完整,无黑箱操作。

潜在缺点与局限性

1. 依赖外部浏览器:Playwright + Chromium 的安装体积较大,首次配置耗时,且对系统资源有一定要求。
2. 网络依赖性强:完全依赖 ClawHub 网站可访问性,若平台改版或限流,抓取逻辑可能失效。
3. 无增量更新机制:每次运行均全量抓取,无法仅同步变更项,技能数量多时效率下降。
4. 报告输出固定:仅支持 Markdown 格式输出至 /tmp/,缺乏自定义模板或多种格式(JSON/HTML)选项。

适合的目标群体

  • ClawHub 多技能维护者:需要定期审查大量 skills 安全状态的开发者
  • DevOps/安全工程师:负责团队技能库合规性检查的技术人员
  • 开源贡献者:希望快速了解社区技能安全概况的审核人员

使用风险

  • Playwright 供应链风险:依赖 Chromium 二进制分发,虽为主流方案,但仍需关注上游安全公告
  • API 密钥管理VIRUSTOTAL_API_KEY 为可选配置,若配置不当存在泄露风险
  • 临时文件残留:报告写入 /tmp// 目录,多用户环境需注意权限隔离
  • 页面结构变更:ClawHub 前端改版可能导致选择器失效,需及时更新 skill 版本

安全解读

核心用法

本 Skill 专为 ClawHub 生态中的开发者设计,用于自动化审查本地 Skill 的安全状态。它会遍历 ~/Developer/Skills 目录下的所有 Skill,根据 SKILL.md 中的 name 字段作为 slug,访问对应的 ClawHub 页面抓取:

  • Security Scan: VirusTotal 扫描状态、报告链接,以及 OpenClaw 的安全评级、置信度和判定理由
  • Runtime Requirements: 运行时依赖、环境变量、二进制工具需求
  • Comments: 用户评论和反馈

最终生成一份统一的 Markdown 报告,输出到指定路径(如 /tmp/clawhub-skill-review.md)。

显著优点

1. 开发者友好: 专为 Skill 作者设计,解决"我的 Skill 在 ClawHub 上安全评分如何"的痛点
2. 批量处理: 一次扫描整个本地 Skill 目录,适合拥有多个 Skill 的开发者
3. 配置灵活: 支持 --slug-map 解决本地文件夹名与 ClawHub slug 不匹配的问题
4. 数据完整: 同时抓取安全扫描、运行时要求和评论三类信息,报告全面
5. 来源可信: 作者 odrobnik 为 GitHub 活跃用户,有持续维护记录

潜在缺点与局限性

1. 依赖较重: 需要 Playwright + Chromium,首次安装体积较大(约 100MB+)
2. API 限制: 依赖 VirusTotal API,免费套餐有每日查询限额
3. 仅限公开 Skill: 只能抓取已发布到 ClawHub 的 Skill 信息,无法审查未发布的本地 Skill
4. 时效性问题: 报告基于扫描时点的数据,ClawHub 页面更新后需重新运行
5. Playwright 开销: 相比纯 HTTP 请求,浏览器自动化启动较慢,资源占用更高

适合人群

  • Skill 开发者: 需要定期检查多个 Skill 的安全状态和社区反馈
  • 安全审计员: 批量审查团队 Skill 的 ClawHub 安全评级
  • CI/CD 集成: 可在发布流程中自动化安全报告生成

常规风险

| 风险类型 | 等级 | 说明 |
|---------|------|------|
| 外部 API 依赖 | 低 | 需 VIRUSTOTAL_API_KEY,但仅用于只读查询 |
| 浏览器自动化 | 低 | Playwright 为微软官方维护,行为可控 |
| 数据隐私 | 极低 | 仅访问公开页面,不上传用户数据 |
| 供应链 | 低 | 核心依赖 Playwright 为知名开源项目 |

使用建议

1. 首次使用前预留 5-10 分钟完成 Playwright 安装
2. 妥善保管 VirusTotal API Key,建议使用 .env 文件或环境变量注入
3. 对于 CI 场景,可考虑预装 Playwright 的容器镜像减少等待时间
4. 遇到 slug 不匹配时,优先使用 --slug-map 而非重命名文件夹

securityautomationdevopstestingcontent-mediadevelopment-engineering

skill-review 内容

scripts文件夹
手动下载zip · 11.4 kB
skill_review.pytext/plain
请选择文件