Skill Vetter v2

核心用法

Skill Vetter v2 是一款专为 AI Agent 设计的技能安全审查工具（Skill Vetter），其核心功能是在安装或使用任何技能之前，对其进行结构化的本地安全审查。该技能会系统性地扫描目标技能的 SKILL.md、README、脚本、钩子、模板等文件，识别已声明和隐含的能力（如文件读写、命令执行、网络访问、凭证处理等），并从安装时风险、运行时风险、数据泄露风险和信任依赖风险四个维度进行评估。审查完成后，它会生成一份包含风险等级、警告、建议和最终判定（安全/谨慎/不安全）的结构化报告。此外，用户还可以选择性地将已完成报告提交至 SettlementWitness 进行验证，以确保报告结构与判定逻辑的一致性，验证结果仅作为审计记录，绝不凌驾于本地安全判断之上。

显著优点

1. 本地审查，自主决策：整个审查过程在本地完成，绝不将安全判断权外包给任何外部服务，确保用户对技能安全性拥有最终决定权。
2. 多维风险评估：从安装时行为、运行时行为、数据泄露和信任依赖四个维度进行系统评估，覆盖技能生命周期的关键风险点，评估框架全面且结构化。
3. 红色警报机制：内置明确的红旗规则，一旦发现技能请求凭据、存在代码混淆、静默传输数据、提权等危险行为，立即标记为不安全，提供清晰的安全底线。
4. 可选验证，增强可审计性：提供与 SettlementWitness 集成的可选验证工作流，可在不泄露敏感信息的前提下，对审查报告的结构和逻辑一致性进行验证，生成可审计的收据。
5. 无外部依赖，攻击面小：该技能本身不依赖任何外部库、不发起网络调用、不收集任何数据，代码结构透明清晰，自身的攻击面被控制在极低水平。

潜在缺点或局限性

1. 个人开发者来源，信誉不可验证：该技能来自 ClawHub 个人开发者（T3 来源），README 中的 GitHub 仓库地址为占位符，无可验证的公共仓库或组织背景，社区信誉难以考证。
2. 缺少开源许可证：当前版本未声明许可证，LICENSE 文件缺失，在合规性和法律明确性方面存在短板，可能影响某些组织环境下的采用。
3. Hook 上下文注入：该技能包含一个钩子处理器，会在 Agent 引导时向上下文注入提醒内容，虽已文档化且仅为安全提醒，但仍属 Agent 上下文修改行为，对高度敏感环境的用户需要额外关注。
4. 审查深度依赖人工判断：作为自动化辅助工具，其审查能力主要基于模式匹配和清单检查，面对复杂或精心隐藏的恶意行为，最终仍需依赖人工审查者的经验和技术水平。

适合的目标群体

• AI Agent 重度用户：频繁安装和尝试各种社区技能的个人开发者或高级用户，需要一个标准化的安全检查流程来管理风险。
• Agent 技能安全研究者：需要对技能进行系统性安全分析、生成结构化报告的研究人员。
• 注重审计和合规的团队：希望在引入第三方技能时留存可审计的安全审查记录的企业或组织团队。
• Agent 平台开发者：希望为技能市场或平台集成标准化安全审查流程的开发者。

使用风险提示

• 来源风险（T3）：由于来源为个人开发者且无公共代码仓库可验证，理论上存在维护者未来通过更新引入恶意代码的可能性。建议在每次更新后重新审查该技能本身，并关注上游仓库的变更。
• 上下文注入顾虑：钩子处理器的上下文注入行为虽然是透明的安全提醒，但在某些严格限制上下文修改的环境中可能需要禁用手动处理，或进行额外的行为审计。
• 误报与漏报：模式匹配的审查方式可能导致误报（将正常行为标记为风险）或漏报（未能识别新型或高度伪装的威胁），用户不应将技能的报告视为绝对的安全保证，而应将其作为辅助决策依据。
• 验证服务依赖：若启用 SettlementWitness 验证，需将精简版报告结构发送至外部服务，虽然是可选功能且明确不含敏感数据，但仍需用户根据自身隐私策略进行审慎选择。

Skill Vetter v2 综合评估

核心用法

Skill Vetter v2 是一款本地优先的安全审查工具，用于在安装或使用其他 Skill 前进行结构化风险评估。其工作流程包括：本地检查目标 Skill 的 SKILL.md、README.md、脚本和钩子；识别声明与隐式能力（文件读写、命令执行、网络调用、凭证处理）；评估安装时风险、运行时风险、数据暴露风险和信任依赖风险；最终生成结构化 JSON 报告，并可选择性地通过 SettlementWitness 验证报告一致性。

显著优点

1. 零网络暴露：纯本地执行，无外部 API 调用，敏感数据（凭证、私钥、内存文件）绝不外发
2. 透明可信：所有行为在文档中有清晰说明，功能与声明完全一致
3. 安全设计：不包含 eval/exec/system/child_process 等危险函数
4. Hook 行为可控：仅在 Agent bootstrap 时注入虚拟提醒文件（virtual: true），不写入实际文件系统
5. 独立审计：可选的 SettlementWitness 验证层仅校验报告结构，不替代本地安全决策
6. 多平台兼容：支持 OpenClaw、Claude Code、Codex、Copilot 等多种 Agent 环境

潜在缺点与局限性

• 来源可信度受限（T3）：维护者为独立开发者，无公开 GitHub 仓库可供验证代码历史
• 无自动修复能力：仅为分析工具，不提供 Skill 问题的自动修复建议
• 静态分析局限：依赖 grep 模式匹配，可能漏检高级混淆或动态加载的恶意代码
• 验证层非强制：SettlementWitness 验证为可选项，用户可能跳过此步骤

适合人群

• AI Agent 高级用户：需要批量审查或定期审计 Skill 安全性的开发者
• 企业安全团队：需建立 Skill 准入流程、生成可追溯审查记录的组织
• 开源社区维护者：管理多 Skill 仓库，需标准化风险评估流程的 curator
• 安全意识强的个人用户：在安装来源不明的 Skill 前希望获得结构化风险概览

常规风险

• 误判风险：静态扫描可能将合法的网络调用标记为风险，或漏检经混淆的恶意代码
• 依赖人工决策：工具输出 "caution" 或 "unsafe" 后，仍需用户自行判断是否使用
• Hook 注入可见性：虽然虚拟文件无实际写入，但用户应了解启动时会有安全提醒注入上下文
• 版本兼容性：Hook 功能在不同 Agent 环境下的行为可能存在细微差异，建议参考文档测试

总体评价

该 Skill 是一款设计精良、实现干净的安全审查基础设施工具，S 级安全评级和 91 分综合得分反映其代码质量。特别适合需要建立 Skill 安全审查流程的场景，但建议结合人工审查以弥补 T3 来源的可验证性不足。