Skill Security Scanner

🛡️ AI Agent 技能安全守门人

OpenClaw技能安全扫描器,在安装前检测恶意代码、可疑URL和安装陷阱,防范供应链攻击。

收藏
5.1k
安装
2.3k
版本
1.1.0
CLS 安全性认证2026-07-14
点击查看完整报告 >

使用说明

概述

claw-skill-guard 是专为 OpenClaw 生态设计的技能安全扫描工具,旨在解决 AI Agent 技能分发渠道中的供应链安全风险。2026年2月,安全研究人员发现 ClawHub 技能仓库中存在恶意软件分发事件,促使该工具的诞生。

核心用法

该工具通过静态代码分析扫描技能包,识别危险模式:

  • 命令行扫描scanner.py scan <URL或本地路径> 单个技能
  • 批量扫描scanner.py scan-all <目录> 批量检测
  • 四级风险评级:CRITICAL(阻断)/ HIGH(需审批)/ MEDIUM(需复核)/ LOW(提示)

显著优点

1. 攻击面覆盖全面:内置9类危险模式检测,涵盖远程代码执行(curl\|bash)、二进制下载执行、编码混淆、包管理器投毒等攻击向量
2. 供应链场景适配:针对 AI Agent "技能自动安装" 特性设计,填补了传统安全工具对 Agent 工作流的安全盲区

3. 可扩展规则引擎:JSON 格式的模式定义(patterns/*.json),支持社区贡献新攻击特征

4. 轻量无依赖:纯 Python 实现,无需复杂基础设施即可集成

潜在局限

  • 静态分析局限:无法检测动态生成代码、加混淆载荷或运行时行为异常
  • 无强制约束:依赖用户主动执行,工具本身无法拦截安装流程
  • 规则滞后性:新型攻击模式需人工更新规则库
  • 误报风险:对合法但非常规的自动化脚本可能产生误报

适合人群

  • OpenClaw/Claude 等 AI Agent 平台的重度用户
  • 从公共仓库安装第三方技能的开发者
  • 企业安全团队(需建立 Agent 技能准入流程)
  • 对供应链安全有基础认知的技术用户

常规风险

  • 规则库维护:未及时更新的规则可能漏过新变种攻击
  • 社会工程绕过:攻击者可诱导用户忽略扫描结果或手动放行
  • 同源信任陷阱:对同一作者的多技能链式攻击检测能力不足

安全建议

强烈建议结合 AGENTS.md 策略强制化和 pre-commit 钩子实现自动化卡点,将 "信任但验证" 原则嵌入工作流。

安全解读

核心功能

claw-skill-guard 是一款专为 OpenClaw 生态设计的前置安全扫描工具,在技能安装前拦截潜在威胁。其核心机制是通过静态模式匹配检测九类风险行为:从高危的 curl|bash 远程代码执行、Base64 混淆恶意脚本,到中等风险的未知依赖安装、敏感文件访问等。

显著优点

1. 零依赖攻击面:仅用 Python 标准库实现,彻底规避供应链投毒风险
2. 分层风险评级:CRITICAL/HIGH/MEDIUM/LOW 四级体系,输出直观可操作

3. 双模式扫描:支持远程 ClawHub 技能与本地目录批量检测

4. 工作流可集成:提供 AGENTS.md 策略模板与 pre-commit 钩子范例

5. 社区驱动更新:开源模式库允许贡献新攻击特征

潜在局限

  • 纯静态分析:无法捕获运行时动态生成的恶意行为(如代码混淆解密后执行)
  • 无签名验证:缺乏密码学层面的开发者身份核验,依赖 URL 白名单机制
  • 需人工介入:S+/S 级风险建议人工复核,无法实现完全自动化决策
  • 覆盖范围:仅针对 OpenClaw 技能格式,通用性有限

适合人群

  • ClawHub 用户:所有从官方或第三方源安装技能的用户
  • 企业安全团队:需在 CI/CD 中嵌入技能安全门禁的组织
  • 开发者:维护多技能工作空间、需批量审计的技术负责人

常规风险

  • 扫描器本身需网络访问 ClawHub API,建议在可信网络环境运行
  • 临时下载的技能文件需确保清理机制正常,避免残留敏感数据
  • 模式库需持续更新以应对新型攻击手法

Skill Security Scanner 内容

examples文件夹
patterns文件夹
scripts文件夹
手动下载zip · 15.8 kB
agents-policy.mdtext/markdown
请选择文件