skills/anikrahman0/Security Skill Scanner

Security Skill Scanner

🔍 技能安全预检,风险一目了然

OpenClaw 技能安全扫描器,通过模式检测识别 SKILL.md 文件中的潜在风险与恶意指令,辅助人工审查

收藏
9.8k
安装
2.6k
版本
2.0.0
CLS 安全性认证2026-05-07
点击查看完整报告 >

使用说明

核心用法

Security Scanner 是一款面向 OpenClaw 生态的安全审查工具,用于在安装前分析技能文件中的可疑模式。其工作流程为:读取 SKILL.md 的 markdown 指令内容 → 应用正则规则检测危险模式 → 生成四级风险评分(LOW/MEDIUM/HIGH/CRITICAL)并标注具体位置 → 用户人工复核后决定是否安装。

典型场景

  • 单文件扫描:Scan the skill at ~/Downloads/SKILL.md
  • 安装前审查:Scan this email-automation skill before I install it
  • 批量审计:Scan all my installed OpenClaw skills

---

显著优点

1. 离线运行:扫描器本身零网络访问、零依赖、零遥测,纯 JavaScript 实现,可审计开源代码
2. 分层风险体系:从代码注入(CRITICAL)到文档缺失(LOW),风险分级清晰,输出含具体行号、模式匹配文本与修复建议
3. 可配置白名单:支持 .security-scanner-config.json 自定义可信域名与命令,减少误报对高频操作的干扰
4. 明确的能力边界:文档反复强调"扫描指令文件而非可执行程序",避免用户产生虚假安全感

---

潜在缺点与局限性

  • 高误报率:设计文档明确承认 WILL flag legitimate patterns —— 反引号 markdown 示例、Base64 教学代码、合法的 npm/pip 安装均可能触发警告
  • 无法防御未知威胁:基于正则的模式匹配无法识别零日漏洞或高级混淆技术
  • 最终决策依赖人:工具只生成报告,不提供 definitive verdict,用户需具备基础安全判断能力
  • 扫描范围受限:仅处理明文 markdown,无法检测加密、编译后的 payload

---

适合人群

  • 频繁从 ClawHub 安装第三方技能的 OpenClaw 用户
  • 企业内需要预审计技能的安全运维人员
  • 技能开发者(用于 CI/CD 自检, roadmap 已提及)

---

常规风险

1. 过度信任风险:用户可能因"已扫描"而降低警惕,忽视文档强调的 manual review 要求
2. 供应链风险:scanner.js 虽声称无依赖,但若用户通过 git clone 获取,需验证仓库真实性(未提供签名验证机制)
3. 提示注入盲区:工具检测技能文件内的可疑指令,但无法防御针对扫描器本身的 prompt engineering 攻击(如技能文档嵌入误导性上下文诱导扫描器忽略风险)
4. 版本滞后风险:恶意模式库依赖社区贡献,新型攻击手法可能未被及时收录

安全解读

核心用法

安全扫描器(Security Scanner)是一项面向 OpenClaw 平台的智能扫描技能,不依赖任何外部库或网络连接。它会解析 SKILL.md 及其他技能文件,利用内置的正则规则库识别恶意模式,包括:隐蔽的外部下载与可执行文件、可疑 API 端点、危险的文件系统操作、Base64 等混淆命令。扫描结束后,该技能会按 低(LOW)/ 中(MEDIUM)/ 高(HIGH)/ 严重(CRITICAL) 四级风险生成详细报告,并输出针对性的处理建议。无论是安装前审核单个技能还是批量清查已安装的本地技能库,它都能在数秒内给出明确指引。

显著优点

  • 极致安全设计:纯 Node.js 标准库实现,零外部依赖,完全离线运行,不发送任何网络请求或遥测数据,无供应链攻击面。
  • 功能透明一致:规则模式与检测逻辑均可审计,行为与文档声明高度一致,绝不修改或执行扫描对象中的任何代码。
  • 精准的报告体系:从命令注入、凭证收集到不安全的文件访问,提供清晰的风险定位和解释,并支持自定义白名单配置。
  • 良好的文档与社区意识:在 SKILL.md 中详尽列出了常见误报场景、扫描局限性以及用户需自行承担的人工审核责任,诚实且专业。

潜在缺点或局限性

  • 依赖正则匹配,无法识别零日攻击:基于模式的检测可能漏过精心设计的新型混淆或逻辑后门,不会进行动态行为分析。
  • 误报风险:内置规则较为宽泛(如反引号匹配所有内联代码,Base64 长字符串匹配 PD F或 JWT),扫描文档密集型技能时可能产生大量误报,增加人工审核负担。
  • 来源可信度受限:作者为个人开发者(T3 信任级别),GitHub 仓库活跃度、维护持续性未被长期验证,不适合作为高敏环境的唯一防线。
  • 仅扫描指令文件:该技能审查的是技能指令文本(markdown),而非可执行程序,无法发现运行时恶意行为。

适合的目标群体

  • OpenClaw 个人用户:希望在安装社区共享技能前进行一次快速、免费的安全预检。
  • 小型团队或社区管理员:需要在允许上传或共享技能时设立基础安全门槛,过滤明显恶意脚本。
  • 安全意识教育:用于演示常见的提示注入、隐藏下载等安全风险,帮助用户理解技能安全的重要性。
  • 不适合:需要强安全保障的企业环境、处理高度敏感数据的系统、依赖自动化安全判定的 CI/CD 编排。

使用风险

  • 误报导致信任稀释:过多的低危或误报告警可能让用户逐渐忽略警告,真正的风险反而被淹没。
  • 人工审核依赖:所有告警都需要用户手动确认上下文,如果使用者缺乏安全经验,可能错误判定技能安全性。
  • 检测盲区:无法发现加密 payload、时间/环境触发型恶意逻辑或通过多技能协同执行的攻击链。
  • 性能微小扰动:虽然代码本身轻量,但在批量扫描数百个技能文件时,正则全量匹配会对存储产生大量只读 I/O,可能短暂影响磁盘负载。

总体而言,这款扫描器是社区中一款透明、无副作用的第一道防线,但绝不能替代谨慎的人工审查和分层安全体系。

securityscannermalware-detectionopenclawskill-validationrisk-assessmentstatic-analysis

Security Skill Scanner 内容

examples文件夹
clean-skill文件夹
malicious-skill文件夹
手动下载zip · 22.2 kB
SKILL.mdtext/markdown
请选择文件