skill-scanner

核心用法

ai-skill-scanner 是一款专为 OpenBot/Clawdbot Skill 生态设计的静态安全扫描工具，用于在 Skill 安装前检测潜在威胁。用户通过命令行调用 python3 scripts/scan.py <skill-path>> 即可执行扫描，支持 --verbose 详细输出和 --json 自动化集成。扫描流程遵循"下载-扫描-分级-决策"四步：定位目标 Skill 目录后运行扫描，根据 CRITICAL/HIGH/MEDIUM/LOW 分级评估，最终给出 CLEAN/INFO/REVIEW/SUSPICIOUS/DANGEROUS 五级评分及安装建议。

显著优点

该工具具备企业级检测能力，覆盖 9 大类 33 条检测规则，包括凭证泄露（API 密钥、密码）、可疑网络请求、代码混淆（Base64/eval/十六进制）、敏感文件访问（SSH 密钥、浏览器数据）、危险命令执行、键盘记录与屏幕截图、加密货币钱包窃取、提示词注入攻击以及时序触发器（延迟执行炸弹）。采用纯 Python 标准库实现，零第三方依赖，彻底规避供应链攻击风险。扫描引擎融合正则匹配、熵分析、AST 抽象语法树解析与数据流追踪，兼顾检测深度与执行效率。

潜在缺点与局限性

作为静态扫描器，其本质限制在于无法捕获运行时动态行为，如条件触发恶意代码、环境感知逃逸技术或高级混淆变体。模式匹配机制可能产生误报，尤其对合法的网络请求库、文件操作工具会标记 MEDIUM 级别警告，需人工复核。对于零日漏洞或定制化免杀技术，规则库存在滞后性，需持续更新维护。此外，扫描结果依赖被测 Skill 的源码可获取性，对已编译二进制或加密分发包无效。

适合的目标群体

主要面向三类用户：Clawdbot/OpenBot 平台管理员，用于构建 Skill 准入白名单机制；安全运维团队，集成至 CI/CD 流水线实现自动化预检；普通终端用户，在手动安装社区 Skill 前进行自助安全审计。对开发者的价值在于提供逆向反馈，帮助理解常见恶意代码模式以提升编码安全意识。

使用风险

性能层面，大规模 Skill 仓库扫描可能产生 I/O 瓶颈，建议配合 --json 输出进行异步批处理。规则误报可能导致正常 Skill 被错误拦截，需建立组织级白名单机制。版本兼容性方面，检测规则与 Clawdbot 运行时版本存在耦合，跨版本扫描可能出现规则失效。最需警惕的是"虚假安全感"——用户可能过度依赖 CLEAN 评分而忽视人工审计，对于处理敏感数据的 Skill，即使扫描通过仍建议进行代码走查。