skill-guard

核心用法

skill-guard 是 ClawHub 生态的预安装安全网关，通过包装 clawhub install 命令实现"先扫描、后安装"的安全流程。用户执行 ./scripts/safe-install.sh <skill-slug>> 后，工具会先将目标技能下载至 /tmp/skill-guard-staging// 临时目录，调用 Invariant Labs（已被 Snyk 收购）开源的 mcp-scan 进行静态分析，根据扫描结果决定放行安装或隔离威胁。支持版本指定（--version）、强制覆盖（--force）及跳过扫描（--skip-scan）等参数，退出码设计清晰：0 为安全安装成功，1 为执行错误，2 为发现威胁并隔离。

显著优点

AI 威胁专精 是最大差异化优势。与传统杀毒软件（VirusTotal）和厂商数据库（skillscanner）不同，skill-guard 针对大模型 Agent 场景设计，能检测提示注入攻击（如隐藏指令覆盖）、自然语言包裹的恶意命令、硬编码密钥及数据外泄 URL 等 AI 专属风险。实测案例中，某技能通过 76 家杀毒引擎检测却未报毒，mcp-scan 成功识别出提示注入、恶意代码模式及机器状态篡改企图。

本地隐私优先 同样关键。整个扫描过程在本地执行，用户数据不会上传至远程服务器，扫描结果仅输出到终端，满足敏感环境的安全合规要求。

流程设计严谨：staging 隔离机制确保可疑代码永不接触正式技能目录；明确的退出码和 quarantine 状态让用户保有最终决策权；set -euo pipefail 的 Bash 安全模式与完善的参数校验杜绝脚本自身被注入利用。

潜在缺点与局限性

动态依赖的不可预期性 是首要隐患。脚本通过 uvx mcp-scan@latest 动态加载扫描引擎的最新版本，虽能获取安全更新，但也可能引入未预期的行为变更或供应链风险，关键生产环境建议手动锁定版本。

误报与漏报平衡 需用户认知。mcp-scan 作为新兴安全工具，对复杂提示注入的检测可能存在误报，而对抗性攻击者也可能研究绕过手法；skill-guard 本身不替代人工代码审查，仅作为自动化初筛。

功能边界有限：仅覆盖 ClawHub 技能生态，不支持其他 MCP 服务器格式；扫描为静态分析，无法检测运行时的动态行为或依赖项漏洞。

T3 来源的信任成本：作者为个人账号（jamesouttake），虽代码通过 A 级安全审计，但长期维护承诺与供应链完整性仍需社区监督。

适合的目标群体

• 安全意识强的 ClawHub 用户：对 Agent 权限敏感、希望建立"零信任"安装流程的个人开发者与团队
• DevSecOps 工程师：需在 CI/CD 流水线中自动化技能安全扫描，拦截恶意依赖进入生产环境
• AI Agent 平台运营方：管理多用户技能市场，需要标准化预检工具降低平台整体风险敞口
• 红队与安全研究员：分析 ClawHub 技能攻击面，验证 mcp-scan 检测能力的有效性

使用风险

性能与稳定性：首次运行需下载 mcp-scan 及依赖，网络波动可能导致超时；/tmp 目录的频繁读写在大批量扫描场景下可能产生磁盘 I/O 瓶颈。

依赖项风险：clawhub CLI、、uv 工具链及 mcp-scan 任一环节出现供应链攻击（如 npm 包劫持、PyPI 恶意发布）将直接影响 skill-guard 的可信基线。

操作误用：用户可能忽视退出码 2 的警告，手动将隔离技能移至安装目录；--force 参数在脚本自动化调用中若未妥善保护，可能覆盖安全决策。

staging 目录残留：长期未清理的 /tmp/skill-guard-staging// 可能积累大量可疑技能文件，既占用空间也存在被其他进程误触发的风险。