skill-scanner-guard

核心用法

Skill Scanner Guard 是专为 OpenClaw 生态设计的安全防护技能，通过集成 Cisco AI Defense 的 skill-scanner 工具，为第三方技能安装建立完整的安全闸门。主要工作流包括四类场景：一是手动批量扫描现有技能库，生成 Markdown/JSON/SARIF 格式的安全报告；二是本地文件夹技能的安全安装，通过 scan_and_add_skill.sh 实现扫描-决策-安装的闭环；三是 ClawHub 远程技能的安全获取，采用 staging 模式先下载到临时目录扫描，通过后再正式安装；四是基于 systemd 的实时监控，通过 path 单元监听 ~/.openclaw/skills 目录变更，自动触发扫描并将 High/Critical 风险技能移至隔离区。

安全策略采用分级管控：仅阻断 High/Critical 级别威胁，Medium/Low/Info 级别允许安装但输出警告。这种设计平衡了安全性与可用性，避免过度拦截影响正常工作效率。

显著优点

1. 供应链安全闭环：覆盖从本地开发、ClawHub 下载到自动更新的全生命周期，填补 OpenClaw 生态缺乏原生安全扫描的空白。

2. 自动化运维能力：systemd 用户级服务实现无感监控，无需人工介入即可实时响应技能变更，适合长期运行的开发环境。

3. 灵活的管控策略：分级阈值设计允许用户根据场景调整容忍度，，--force 参数为紧急场景提供逃生通道。

4. 报告格式丰富：支持 Markdown（人工阅读）、JSON（程序处理）、SARIF（IDE 集成）三种输出，适配不同下游工具链。

5. 隔离机制可靠：自动化的 quarantine 操作将风险技能移至独立目录，保留现场便于事后审计，而非简单删除导致数据丢失。

潜在缺点与局限性

1. 环境强耦合：硬编码 ~/.openclaw// 路径结构，无法直接迁移至 Claude Code 或其他 AI 助手平台，生态锁定明显。

2. 外部依赖较重：依赖 uv（Python 包管理）、npx（Node 工具链）、skill-scanner（Cisco 扫描引擎）三重外部工具，离线环境部署困难。

3. 扫描引擎黑盒：skill-scanner 的具体检测规则、漏洞库更新机制未在文档中披露，用户难以评估检测覆盖率和误报率。

4. 权限边界模糊：脚本需要完整的用户目录读写权限，虽符合功能需求，但一旦被恶意篡改，可能成为权限维持的跳板。

5. 无网络层防护：仅扫描本地静态文件，无法检测技能运行时的网络行为（如 C2 通信、数据外泄）。

适合的目标群体

• OpenClaw 重度用户：日常从 ClawHub 安装大量第三方技能，需要系统化的安全筛查机制。
• 企业安全团队：为内部 AI 开发环境建立合规基线，满足供应链安全审计要求。
• 技能开发者：在发布前自检技能包，提前发现潜在的安全标记，提升作品可信度。
• DevSecOps 工程师：需要将 AI 助手技能管理纳入现有的 CI/CD 安全门禁体系。

使用风险

1. 依赖供应链风险：uv 和 npx 若从非官方渠道安装，可能引入供应链投毒；建议校验工具本身的签名或哈希。

2. 扫描性能开销：大规模技能库的全量扫描可能消耗显著 CPU/IO 资源，建议在非工作时段执行或配置资源限制。

3. 隔离误操作：自动 quarantine 机制若因扫描引擎误报触发，可能导致正常技能被误隔离，需建立白名单或快速恢复流程。

4. 报告文件泄露：扫描报告包含技能文件路径、部分代码片段等敏感信息，默认存储于用户目录，多用户共享环境需注意权限设置。

5. 策略绕过风险：--force 参数若被脚本或别名默认启用，将完全丧失安全保护，需通过环境审计确保合规使用。