核心用法
SkillLens 是一款命令行审计工具,用于扫描本地安装的 Agent 技能(如 Codex、Claude 技能),通过解析 SKILL.md 及配套资源识别安全与合规风险。用户可通过 skilllens scan 执行扫描,skilllens config 查看配置,支持 --verbose 查看原始审计输出及 --force 强制跳过缓存。
显著优点
1. 系统化审计流程:提供从范围定义、资产清点、风险分级到报告生成的完整工作流,降低人工遗漏。
2. 多维度风险覆盖:聚焦数据外泄(exfiltration)、任意执行(execution)、持久化(persistence)、权限绕过、提示注入及过度宽泛触发器等六类高优先级威胁。
3. 灵活集成:支持 npx/pnpm dlx 零安装运行,也支持全局安装;可针对特定路径或配置根目录扫描。
4. actionable 输出:为每个技能生成 name、path、verdict(safe/suspicious/unsafe)、风险评分(0-100)及具体证据引用,并附修复建议(缩小作用域、添加强制确认门等)。
潜在缺点与局限性
- 依赖外部审计器:需本地安装 Claude 或 Codex CLI,缺失时标记为“需人工复核”,可能增加工作量。
- 静态分析为主:主要基于文件内容审查,无法动态追踪实际运行时的行为。
- 缓存机制:默认使用缓存结果,可能错过技能更新后的新风险,需显式加
--force。 - 人工介入门槛:对
unsafe/suspicious及高权限技能仍需人工深度审查,工具本身不自动修复。
适合人群
- 使用 Codex、Claude 等 Agent 平台的开发者与团队,需定期审计第三方或内部技能。
- 安全合规团队,需为技能生态建立准入与持续监控机制。
- 开源技能仓库维护者,希望在发布前进行自审。
常规风险
- 误报与漏报平衡:过度依赖工具 verdict 可能忽视边缘风险;反之,过多人工复核降低效率。
- 审计器自身安全:若
skilllens或底层审计 CLI 被篡改,可能输出误导性安全结论。 - 供应链风险:
npx/pnpm dlx拉取的包若被劫持,将直接威胁待审计环境。 - 权限边界模糊:扫描过程中需读取技能文件,若目标目录含敏感凭证,可能意外暴露给审计日志。