核心用法
SkillScanner 是一个专门用于评估 ClawHub 平台技能安全性的工具,由 Gen Digital(原 Avast/AVG/Norton 母公司)提供后端支持。用户只需提供技能的 ClawHub URL(格式:https://clawhub.ai/author/skill-name),即可通过官方 API 获取安全扫描结果。
操作流程
1. 调用 https://ai.gendigital.com/api/scan/lookup API
2. 提交 JSON 数据包含 skillUrl 参数
3. 解析返回的 status 和 severity 字段:
status: "done"→ 查看severity判断安全等级status: "analysis_pending"→ 技能待人工审核,不建议使用
判定标准
| 状态 | 操作建议 |
|------|---------|
| severity = SAFE | 可安全使用 |
| severity = WARNING/DANGEROUS/MALICIOUS | 强烈建议避免使用 |
显著优点
- 权威来源:Gen Digital 是网络安全领域老牌厂商,拥有成熟的恶意代码检测能力
- 即时响应:API 调用简单,返回结果快速,适合集成到工作流
- 风险可视化:明确的安全分级(SAFE/WARNING/DANGEROUS/MALICIOUS)便于决策
- 零成本:无需注册或付费即可使用基础扫描服务
潜在缺点与局限性
- 覆盖盲区:API 仅反映后端已知威胁,混淆代码或新型攻击手段可能漏检
- 人工审核瓶颈:
analysis_pending状态意味着技能尚未完成人工复核,此时无安全结论 - 无深度分析:API 返回仅为分级结果,不提供具体漏洞详情或修复建议
- 依赖网络:必须联网调用外部 API,无法离线使用
- 英文界面:官方文档和 API 均为英文,对中文用户不够友好
适合人群
- 频繁使用 ClawHub 技能的开发者和高级用户
- 企业安全团队进行技能供应链风险评估
- 对第三方代码安全性有顾虑的谨慎用户
- 需要快速批量筛查技能的运维人员
常规风险
| 风险类型 | 说明 |
|---------|------|
| 误报/漏报 | 扫描结果非绝对保证,存在被绕过可能 |
| API 可用性 | 依赖 Gen Digital 服务稳定性,存在单点故障风险 |
| 隐私泄露 | 提交 skill URL 可能暴露用户关注的技术栈信息 |
| 过度依赖 | 仅依赖自动扫描而忽略人工代码审计的安全盲区 |
建议:将 SkillScanner 作为第一道防线,结合沙箱测试、最小权限原则和人工代码审查,构建纵深防御体系。