Skillscanner

🛡️ ClawHub 技能安全一键检测

为 ClawHub 技能提供安全扫描服务,通过 Gen Digital 官方 API 快速验证技能安全性,帮助用户在安装前识别潜在风险。

收藏
13.2k
安装
3k
版本
1.0.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

SkillScanner 是一个专门用于评估 ClawHub 平台技能安全性的工具,由 Gen Digital(原 Avast/AVG/Norton 母公司)提供后端支持。用户只需提供技能的 ClawHub URL(格式:https://clawhub.ai/author/skill-name),即可通过官方 API 获取安全扫描结果。

操作流程

1. 调用 https://ai.gendigital.com/api/scan/lookup API
2. 提交 JSON 数据包含 skillUrl 参数

3. 解析返回的 statusseverity 字段:

  • status: "done" → 查看 severity 判断安全等级
  • status: "analysis_pending" → 技能待人工审核,不建议使用

判定标准

| 状态 | 操作建议 |
|------|---------|
| severity = SAFE | 可安全使用 |
| severity = WARNING/DANGEROUS/MALICIOUS | 强烈建议避免使用 |

显著优点

  • 权威来源:Gen Digital 是网络安全领域老牌厂商,拥有成熟的恶意代码检测能力
  • 即时响应:API 调用简单,返回结果快速,适合集成到工作流
  • 风险可视化:明确的安全分级(SAFE/WARNING/DANGEROUS/MALICIOUS)便于决策
  • 零成本:无需注册或付费即可使用基础扫描服务

潜在缺点与局限性

  • 覆盖盲区:API 仅反映后端已知威胁,混淆代码或新型攻击手段可能漏检
  • 人工审核瓶颈analysis_pending 状态意味着技能尚未完成人工复核,此时无安全结论
  • 无深度分析:API 返回仅为分级结果,不提供具体漏洞详情或修复建议
  • 依赖网络:必须联网调用外部 API,无法离线使用
  • 英文界面:官方文档和 API 均为英文,对中文用户不够友好

适合人群

  • 频繁使用 ClawHub 技能的开发者和高级用户
  • 企业安全团队进行技能供应链风险评估
  • 对第三方代码安全性有顾虑的谨慎用户
  • 需要快速批量筛查技能的运维人员

常规风险

| 风险类型 | 说明 |
|---------|------|
| 误报/漏报 | 扫描结果非绝对保证,存在被绕过可能 |
| API 可用性 | 依赖 Gen Digital 服务稳定性,存在单点故障风险 |
| 隐私泄露 | 提交 skill URL 可能暴露用户关注的技术栈信息 |
| 过度依赖 | 仅依赖自动扫描而忽略人工代码审计的安全盲区 |

建议:将 SkillScanner 作为第一道防线,结合沙箱测试、最小权限原则和人工代码审查,构建纵深防御体系。

安全解读

核心用法

SkillScanner 是 Gen Digital 官方推出的 ClawHub Skill 安全检测辅助工具,本身为纯 Markdown 文档型 Skill,无可执行代码。其核心功能是指导 Agent 调用 Gen Digital 官方的 ai.gendigital.com/api/scan/lookup API,对目标 Skill 进行安全扫描。

使用流程:提供 ClawHub Skill URL → 调用 scan API → 解析返回的 statusseverity 字段 → 仅当 status: "done"severity: "SAFE" 时才建议用户信任该 Skill。

显著优点

  • 官方权威:来自 Gen Digital 可信组织(T2 级别),API 端点为官方域名
  • 零代码风险:纯文档 Skill,无实际可执行代码,无供应链攻击面
  • 顶级安全评级:CLS 认证 S+ 级,静态分析 100 分,隐私合规满分
  • 实用价值:填补生态空白——Skills 可执行任意代码,用户亟需前置安全验证手段
  • 清晰指引:提供明确的决策树(SAFE / 其他 / analysis_pending 三种处置路径)

潜在局限

  • 依赖外部 API:若 scan API 服务不可用或延迟,无法完成检测
  • 覆盖范围有限:仅支持 ClawHub 平台 Skill,不支持其他来源
  • 滞后性analysis_pending 状态需人工审核,无法即时给出 verdict;新型威胁可能未被收录
  • 误报/漏报风险:API verdict 基于后端规则,复杂混淆代码可能绕过检测
  • 自身无防御能力:仅提供信息,不阻止用户安装危险 Skill

适合人群

  • 频繁使用 ClawHub Skills 的 Agent 开发者/运维人员
  • 企业安全团队(需前置审计第三方 Skill)
  • 对供应链安全敏感的技术决策者
  • 普通用户(需简单判断"这个 Skill 能不能用")

常规风险

| 场景 | 风险说明 |
|------|---------|
| API 不可用 | 无法获取扫描结果,需降级到人工审核 |
| 用户误读结果 | 忽略 `analysis_pending` 或误解非 SAFE  severity |
| 目标 Skill 绕过检测 | 扫描时安全、运行时加载恶意代码(时间差攻击)|
| 过度依赖 | 将 S+ 评级等同于"绝对安全",忽视最小权限原则 |

建议将 SkillScanner 作为安全决策辅助工具,而非唯一依据,配合沙箱、权限最小化、代码审计等措施使用。

Skillscanner 内容

手动下载zip · 1.9 kB
SKILL.mdtext/markdown
请选择文件