Skill Auditor

核心功能

skill-auditor 是一款专为 OpenClaw 生态设计的技能安全扫描器，核心采用静态正则模式匹配检测 40+ 种威胁签名，包括提示词注入、凭证窃取、数据外泄、后门隐藏等。其最大特点是零依赖核心设计——仅需 Node.js 即可运行，无需 npm install。

显著优点

分层安全架构：基础层提供即时可用的静态分析；进阶层可选 Python AST 数据流追踪（检测跨函数数据泄露）、VirusTotal 70+ 引擎二进制扫描、LLM 语义意图分析（判断行为是否与声明一致）。这种「基础免费、高级可选」的模式兼顾了易用性与深度安全需求。

CI/CD 原生支持：输出 SARIF 格式直接对接 GitHub Code Scanning，支持 --fail-on-findings 中断构建流水线，企业级 DevSecOps 集成友好。

跨平台零摩擦：Windows/macOS/Linux 全兼容，tree-sitter 提供预编译 wheel 无需 C++ 编译器。

潜在局限

静态分析的边界：新型混淆编码、高级提示词注入技术可能逃逸正则检测；Python AST 仅覆盖 Python 文件，复杂跨语言数据流无法追踪。

外部依赖瓶颈：VirusTotal 免费版限 500 次/天；LLM 分析需本地 OpenClaw 网关运行，增加部署复杂度。

T3 来源风险：开发者 RubenAQuispe 为个人 GitHub 账号，非企业背书的 T1/T2 来源，生产环境建议代码审查后使用。

适合人群

• OpenClaw 开发者：安装第三方技能前的安全预审
• 安全工程师：构建技能供应链安全流水线
• 企业合规团队：满足第三方代码审计要求

常规风险

扫描器自身使用 child_process 和 eval()（用于加载本地模式），虽经安全认证评估为合理用途，但极端情况下若技能目录被篡改仍存在理论上的代码执行风险。建议结合运行时监控使用，不将其作为唯一安全防线。

Skill Auditor v2.1.3 综合评估

核心用法

Skill Auditor是OpenClaw生态专用的安全扫描工具，提供三层检测能力：

• 基础扫描：零依赖的静态模式分析，检测40+威胁模式（提示注入、数据外泄、敏感文件访问等）
• 进阶分析：可选Python AST数据流追踪，监控变量从源到汇聚点的传递路径
• 深度验证：集成VirusTotal（70+杀毒引擎）和LLM语义分析，评估行为与声明意图的一致性

主要入口：scan-skill.js（本地/远程扫描）、audit-installed.js（批量审计）、setup.js（交互式配置）。

显著优点

1. 零依赖核心：Node.js原生实现，无需Python即可运行基础扫描，CI/CD友好
2. 分层架构：核心功能开箱即用，高级特性（AST、VirusTotal、LLM）按需启用，避免依赖膨胀
3. 多格式输出：支持JSON、SARIF（GitHub Code Scanning兼容）、可视化报告三种格式
4. OpenClaw专属：深度适配MEMORY.md、sessions_send、agent操控等框架特定风险点
5. 透明可审计：MIT许可证，4,182行代码结构清晰，安全认证报告公开可查

潜在局限

• 模式依赖：正则基检测难以识别新型混淆技术；复杂提示注入可能逃逸
• Python局限：AST分析仅覆盖Python文件，跨语言数据流追踪有限
• 外部服务限制：VirusTotal免费版500次/天；LLM分析依赖本地网关运行
• 非绝对安全：官方明确声明"单层防御"，需配合人工代码审查

适合人群

• Skill开发者：发布前自检，提升用户信任
• 企业安全团队：CI/CD集成，供应链安全管控
• 隐私敏感用户：评估第三方Skill的数据处理行为
• OpenClaw管理员：批量审计已安装Skill，识别高风险组件

常规风险

• 动态代码执行：eval()用于模式复用（RISK-001，风险可控但建议重构）
• 子进程调用：child_process执行pip安装（RISK-002，需用户确认）
• 外部API暴露：GitHub/VirusTotal调用可能泄露扫描目标元数据
• 权限要求：需文件系统遍历权限，恶意Skill可能反制扫描器

来源可信度

T3级个人开发者项目，但经CLS-Certify v2.1.0完整审计，获A级（78分）认证，5项合规检查全通过。综合功能完整性、代码透明度与安全认证背书，可作为OpenClaw生态的标准安全基线工具。