moltcheck

🛡️ 智能体生态安全守门员

MoltCheck 是 Moltbot 生态专用的安全扫描工具,通过调用官方 API 检测 GitHub 仓库漏洞,帮助用户规避供应链攻击风险。

收藏
3.3k
安装
784
版本
v1.0.4
CLS 安全性认证2026-06-04
点击查看完整报告 >

使用说明

MoltCheck 是一款专为 Moltbot 智能体生态打造的安全扫描技能,核心功能是通过 scan <github_url>> 命令对 GitHub 仓库进行自动化安全审计。该技能调用 moltcheck.com 的云端 API,返回信任评分(0-100)、风险等级(A-F)及权限一致性分析,帮助用户在安装第三方技能前识别凭证窃取、隐藏网络调用、恶意代码执行等威胁。

核心用法:用户可通过简单命令快速扫描公开仓库,免费版每日限 3 次,付费版按量计费(最低 $0.05/次)。配置 API Key 后可解锁完整功能,支持环境变量安全注入。

显著优点:代码极度精简,零 npm 依赖,仅使用 Node.js 原生 fetch API,从根本上杜绝依赖链攻击;权限声明与实际行为完全一致,透明度高;功能聚焦单一,行为可预测,无隐藏副作用。

潜在局限:必须将目标仓库 URL 上传至第三方服务器(moltcheck.com),存在数据外泄顾虑,不适合扫描高度敏感的私有仓库;扫描能力受限于云端服务可用性,离线场景无法使用;免费额度有限,高频使用需付费。

适合人群:Moltbot 生态的 Agent 开发者、运维人员、安全审计员,以及任何需要批量评估外部技能安全性的技术团队。

使用风险:网络依赖性强,API 服务中断将导致功能失效;扫描结果依赖云端算法,可能存在误报或漏报;用户需自行权衡将仓库信息发送至第三方服务的隐私代价。

安全解读

MoltCheck 综合评估

核心用法

MoltCheck 是专为 Moltbot AI 代理生态系统设计的供应链安全扫描器,解决「安装第三方技能前如何验证安全性」的核心痛点。用户通过 scan <github_url> 命令即可触发深度检测,返回信任评分(0-100)、风险等级(A-F)及权限审计报告。该技能本质上是「安全工具的安全工具」,形成递归验证能力。

显著优点

1. 六维深度检测体系:整合静态代码分析、动态行为追踪、依赖审计、网络流量分析、隐私合规检查及威胁情报六大维度,覆盖 OWASP 供应链攻击全场景
2. 行为一致性验证:独特地将 SKILL.md 声明权限与实际代码行为交叉比对,揪出「过度授权」或「隐蔽后门」

3. 零依赖架构:代码零第三方依赖,彻底消除供应链污染风险(本次扫描证实)

4. 分级计费友好:免费层 3 次/日满足个人开发者,企业级 $0.05/扫描 成本可控

5. 透明可验证:MIT 协议开源,API 文档完整,支持自主审计

潜在局限

  • 单点依赖风险:扫描服务依赖 moltcheck.com 官方 API,若服务商中断或遭入侵,核心功能失效
  • 覆盖范围有限:仅针对 GitHub 仓库,不支持私有 GitLab、Bitbucket 等企业常用平台
  • 动态分析深度:当前动态检测仅验证网络行为一致性,对运行时内存操作、沙箱逃逸等高级攻击手段检测能力未披露
  • 误报/漏报平衡:AI 生成的技能代码模式新颖,静态规则库可能存在滞后

适合人群

  • AI 代理运营者:需批量审核第三方技能的安全团队
  • MCP/技能开发者:发布前自检,提升用户信任度
  • 企业合规部门:满足供应链安全审计要求
  • 安全研究者:研究 AI 代理攻击面与防御机制

常规风险

| 风险类型 | 等级 | 说明 |
|---------|------|------|
| API 密钥泄露 | 中 | 需用户自行配置 `MOLTCHECK_API_KEY`,误提交至版本控制将导致账户被盗用 |
| 网络钓鱼 | 低 | 需警惕冒充 moltcheck.com 的钓鱼站点诱导提交敏感仓库地址 |
| 扫描结果误信 | 中 | S+ 评级不代表绝对安全,免责声明明确提示需结合人工审计 |
| 数据残留 | 低 | 扫描提交的 GitHub URL 可能包含私有仓库线索,需确认服务商数据保留政策 |

moltcheck 内容

手动下载zip · 4.7 kB
index.jstext/javascript
请选择文件