skill-scanner-guard

🛡️ OpenClaw 技能供应链安全卫士

基于 Cisco AI Defense 扫描引擎,为 OpenClaw 构建自动化技能供应链安全网关,实现安装前扫描、实时隔离与分级管控。

收藏
2.7k
安装
1.1k
版本
v1.0.2
CLS 安全性认证2026-06-04
点击查看完整报告 >

使用说明

核心用法

Skill Scanner Guard 是专为 OpenClaw 生态设计的安全防护技能,通过集成 Cisco AI Defense 的 skill-scanner 工具,为第三方技能安装建立完整的安全闸门。主要工作流包括四类场景:一是手动批量扫描现有技能库,生成 Markdown/JSON/SARIF 格式的安全报告;二是本地文件夹技能的安全安装,通过 scan_and_add_skill.sh 实现扫描-决策-安装的闭环;三是 ClawHub 远程技能的安全获取,采用 staging 模式先下载到临时目录扫描,通过后再正式安装;四是基于 systemd 的实时监控,通过 path 单元监听 ~/.openclaw/skills 目录变更,自动触发扫描并将 High/Critical 风险技能移至隔离区。

安全策略采用分级管控:仅阻断 High/Critical 级别威胁,Medium/Low/Info 级别允许安装但输出警告。这种设计平衡了安全性与可用性,避免过度拦截影响正常工作效率。

显著优点

1. 供应链安全闭环:覆盖从本地开发、ClawHub 下载到自动更新的全生命周期,填补 OpenClaw 生态缺乏原生安全扫描的空白。

2. 自动化运维能力:systemd 用户级服务实现无感监控,无需人工介入即可实时响应技能变更,适合长期运行的开发环境。

3. 灵活的管控策略:分级阈值设计允许用户根据场景调整容忍度,,--force 参数为紧急场景提供逃生通道。

4. 报告格式丰富:支持 Markdown(人工阅读)、JSON(程序处理)、SARIF(IDE 集成)三种输出,适配不同下游工具链。

5. 隔离机制可靠:自动化的 quarantine 操作将风险技能移至独立目录,保留现场便于事后审计,而非简单删除导致数据丢失。

潜在缺点与局限性

1. 环境强耦合:硬编码 ~/.openclaw// 路径结构,无法直接迁移至 Claude Code 或其他 AI 助手平台,生态锁定明显。

2. 外部依赖较重:依赖 uv(Python 包管理)、npx(Node 工具链)、skill-scanner(Cisco 扫描引擎)三重外部工具,离线环境部署困难。

3. 扫描引擎黑盒:skill-scanner 的具体检测规则、漏洞库更新机制未在文档中披露,用户难以评估检测覆盖率和误报率。

4. 权限边界模糊:脚本需要完整的用户目录读写权限,虽符合功能需求,但一旦被恶意篡改,可能成为权限维持的跳板。

5. 无网络层防护:仅扫描本地静态文件,无法检测技能运行时的网络行为(如 C2 通信、数据外泄)。

适合的目标群体

  • OpenClaw 重度用户:日常从 ClawHub 安装大量第三方技能,需要系统化的安全筛查机制。
  • 企业安全团队:为内部 AI 开发环境建立合规基线,满足供应链安全审计要求。
  • 技能开发者:在发布前自检技能包,提前发现潜在的安全标记,提升作品可信度。
  • DevSecOps 工程师:需要将 AI 助手技能管理纳入现有的 CI/CD 安全门禁体系。

使用风险

1. 依赖供应链风险uvnpx 若从非官方渠道安装,可能引入供应链投毒;建议校验工具本身的签名或哈希。

2. 扫描性能开销:大规模技能库的全量扫描可能消耗显著 CPU/IO 资源,建议在非工作时段执行或配置资源限制。

3. 隔离误操作:自动 quarantine 机制若因扫描引擎误报触发,可能导致正常技能被误隔离,需建立白名单或快速恢复流程。

4. 报告文件泄露:扫描报告包含技能文件路径、部分代码片段等敏感信息,默认存储于用户目录,多用户共享环境需注意权限设置。

5. 策略绕过风险--force 参数若被脚本或别名默认启用,将完全丧失安全保护,需通过环境审计确保合规使用。

安全解读

核心用法

skill-scanner-guard 是 OpenClaw 生态的安全网关组件,围绕 Cisco AI Defense 的 skill-scanner 构建三层防护体系:

1. 安装前扫描 – 通过 scan_and_add_skill.shclawhub_scan_install.sh 对本地目录技能或 ClawHub 远程技能执行预安装扫描,仅允许 Medium/Low/Info 级别通过,High/Critical 默认阻断(可 --force 覆盖)
2. 实时监控隔离 – 利用 systemd user path 单元监听 ~/.openclaw/skills 目录变更,自动触发 auto_scan_user_skills.sh,将高危技能移至 ~/.openclaw/skills-quarantine/<name>-<timestamp>

3. 报告生成 – 输出 Markdown/JSON/SARIF 格式扫描报告至 ~/openclaw/workspace/skill_scans/

显著优点

  • 策略灵活:支持阈值调节(block High/Critical;allow Medium with warnings),兼顾安全与可用性
  • 生态集成:无缝对接 OpenClaw 技能目录结构、ClawHub 分发流程及 systemd 用户级服务
  • 透明可审计:完整报告留存 + 隔离日志,便于安全事件追溯
  • 供应链防护:将 Cisco AI Defense 的专业扫描能力引入 OpenClaw 技能生命周期

潜在缺点与局限性

  • 外部工具依赖链:核心功能依赖 uv(Astral)、skill-scanner(Cisco)及 npx clawhub,任一环节被篡改均可能破坏安全假设(当前无 SHA256 校验)
  • 误报风险:自动隔离机制若配置不当可能误杀合法技能,需人工复核 quarantine 目录
  • Linux 限定:systemd user 单元方案对 macOS/Windows 用户需额外适配
  • 无内置签名验证:依赖上游 skill-scanner 的检测能力,本身不实现代码签名验证

适合人群

  • OpenClaw 高级用户/管理员:需管理大量第三方技能、关注供应链攻击风险
  • 企业安全团队:希望在 AI Agent 基础设施中建立技能准入控制(SOP 可集成)
  • ClawHub 技能发布者:希望自检技能安全性,提前修复扫描发现的问题

常规风险

| 风险类别 | 说明 | 缓解建议 |
|---------|------|---------|
| 依赖供应链 | 外部工具被投毒或引入漏洞 | 监控 CVE、考虑私建镜像、添加版本锁定 |
| 权限边界 | 脚本在用户空间运行,误操作仅影响 `~/.openclaw/` | 保持目录隔离设计,避免 sudo 执行 |
| 策略绕过 | `--force` 标志可被滥用安装高危技能 | 企业场景建议移除或审计该选项 |
| 报告泄露 | 扫描报告可能包含技能代码特征 | 确保 `~/openclaw/workspace/` 目录权限正确 |

---

认证结论:CLS-Certify v2.1.0 评定 Grade S / Score 86,静态分析、动态行为、隐私合规均达优秀水平,满足生产环境安全要求。

skill-scanner-guard 内容

scripts文件夹
手动下载zip · 7.5 kB
auto_scan_user_skills.shtext/x-shellscript
请选择文件