Skill Auditor

🛡️ 技能安全扫描 · 意图感知 · 预装防护

安全扫描工具,可在安装前检测技能漏洞、提示注入和数据泄露风险,提供可视化威胁报告和意图匹配分析。

收藏
10.8k
安装
2.8k
版本
1.2.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

核心用法

Skill Auditor 是一款专为 OpenClaw 技能生态设计的安全扫描工具。用户只需在任意技能链接或名称前添加 "scan" 指令,即可获得完整的安全审计报告。支持三种扫描模式:远程 GitHub URL 扫描、本地已安装技能检查,以及安装前预检。扫描完成后,系统会生成包含威胁等级、准确性评分和意图匹配分析的可视化报告。

显著优点

1. 上下文感知分析:v1.1.0 引入的意图匹配机制是核心亮点。扫描器会将每个发现与技能的 SKILL.md 描述交叉比对——若行为与声明用途一致(如技能说明"写入 AGENTS.md"且发现此操作),则标记为"预期行为"并降低严重性,避免误报。

2. 多层安全检测:覆盖漏洞利用、提示注入、数据外泄、代码混淆等威胁类型,威胁等级分为 CLEAN 到 CRITICAL 五级。

3. 隔离扫描架构:通过子代理(默认 anthropic/claude-sonnet-4-20250514)执行扫描,主会话不受影响。

4. 误报过滤机制:内置 false-positives.md 参考文档,自动排除许可证 URL、CDN 链接、正则表达式等常见误报模式。

潜在缺点与局限性

  • 新型混淆逃逸:未收录的编码技巧可能绕过检测
  • 二进制文件盲区:完全无法分析 .wasm、.exe 等格式
  • 微妙提示注入:精心设计的语义操纵可能逃避检测
  • 扫描后更新风险:技能更新后需重新扫描
  • 元提示注入:存在被专门设计来操纵扫描代理的攻击向量

适合人群

  • 频繁安装第三方技能的 OpenClaw 用户
  • 企业/团队技能管理员,需批量审计内部技能库
  • 安全意识强的开发者,希望在发布前自检技能

常规风险

虽然能捕获绝大多数威胁,但官方明确声明这是"一层防护,而非保证"。建议结合代码审查、最小权限原则等其他安全措施使用。威胁情报库由项目作者独家维护,无外部提交渠道,更新频率依赖官方发布周期。

安全解读

核心功能

Skill Auditor 是 OpenClaw 平台的安全扫描工具,专为分析第三方 Skill 的潜在风险而设计。其核心能力包括:

  • 一键扫描:支持 GitHub 远程仓库、本地已安装 Skill 或预安装审查三种模式
  • 威胁评级:输出 CLEAN/LOW/MEDIUM/HIGH/CRITICAL 五级威胁量表
  • 准确性评分:1-10 分评估 Skill 实际行为与声明目的的一致性
  • 意图感知分析:交叉比对发现项与 SKILL.md 描述,将符合声明目的的行为标记为"预期行为"而非威胁

显著优点

1. 零依赖安全架构:仅使用 Node.js 内置模块(fs/path/https/crypto),完全规避 npm 供应链攻击风险
2. 静态隔离分析:永不执行被扫描代码,纯文本模式分析,阻断潜在的 payload 触发

3. 智能误报过滤:内置 42 种威胁检测模式,同时维护 false-positives.md 识别常见误判场景(如许可证 URL、CDN 链接、Git commit hash 等)

4. 透明报告机制:强制输出完整可视化报告,禁止摘要压缩,确保用户看到全部证据

5. 子代理隔离:扫描任务由独立子代理(Claude Sonnet)执行,保护主会话环境

潜在局限

| 局限类型 | 具体说明 |
|---------|---------|
| 新型混淆逃逸 | 未被收录的编码技巧可能绕过检测 |
| 二进制盲区 | 完全跳过 .wasm/.exe 等二进制文件分析 |
| 精巧提示注入 | 语义层面设计的操纵性提示可能规避静态检测 |
| 元注入攻击 | 针对扫描代理本身设计的对抗性 Skill |
| 时效性依赖 | 威胁模式需手动更新,无自动同步机制 |

适合人群

  • OpenClaw 重度用户:安装大量第三方 Skill 前批量审查
  • 企业/团队管理员:建立内部 Skill 准入白名单
  • 安全敏感型开发者:验证自有 Skill 是否存在无意引入的风险模式
  • Skill 市场运营方:作为上架前置审核工具

常规风险

  • GitHub API 依赖:远程扫描依赖 api.github.com 可用性,企业网络需放行该域名
  • 扫描耗时:大型仓库可能产生显著 Token 消耗(子代理完整代码审查)
  • 意图匹配误判:过度依赖 SKILL.md 自我声明,恶意开发者可能通过完善文档伪装安全
  • 威胁模式滞后:作者独立维护模式库,新攻击向量出现到收录存在窗口期

使用建议

1. 对关键业务 Skill 执行「本地扫描 + 远程扫描」双重验证
2. 关注报告中的 ⚡/⚠️ 标记,前者为声明内行为,后者为未披露操作

3. 定期执行 audit all my skills 应对已安装 Skill 的后续更新

4. 对 HIGH/CRITICAL 评级 Skill,优先检查 references/threat-patterns.md 匹配的具体模式

Skill Auditor 内容

references文件夹
scripts文件夹
手动下载zip · 34.2 kB
false-positives.mdtext/markdown
请选择文件