概述
claw-skill-guard 是专为 OpenClaw 生态设计的技能安全扫描工具,旨在解决 AI Agent 技能分发渠道中的供应链安全风险。2026年2月,安全研究人员发现 ClawHub 技能仓库中存在恶意软件分发事件,促使该工具的诞生。
核心用法
该工具通过静态代码分析扫描技能包,识别危险模式:
- 命令行扫描:
scanner.py scan <URL或本地路径>单个技能 - 批量扫描:
scanner.py scan-all <目录>批量检测 - 四级风险评级:CRITICAL(阻断)/ HIGH(需审批)/ MEDIUM(需复核)/ LOW(提示)
显著优点
1. 攻击面覆盖全面:内置9类危险模式检测,涵盖远程代码执行(curl\|bash)、二进制下载执行、编码混淆、包管理器投毒等攻击向量
2. 供应链场景适配:针对 AI Agent "技能自动安装" 特性设计,填补了传统安全工具对 Agent 工作流的安全盲区
3. 可扩展规则引擎:JSON 格式的模式定义(patterns/*.json),支持社区贡献新攻击特征
4. 轻量无依赖:纯 Python 实现,无需复杂基础设施即可集成
潜在局限
- 静态分析局限:无法检测动态生成代码、加混淆载荷或运行时行为异常
- 无强制约束:依赖用户主动执行,工具本身无法拦截安装流程
- 规则滞后性:新型攻击模式需人工更新规则库
- 误报风险:对合法但非常规的自动化脚本可能产生误报
适合人群
- OpenClaw/Claude 等 AI Agent 平台的重度用户
- 从公共仓库安装第三方技能的开发者
- 企业安全团队(需建立 Agent 技能准入流程)
- 对供应链安全有基础认知的技术用户
常规风险
- 规则库维护:未及时更新的规则可能漏过新变种攻击
- 社会工程绕过:攻击者可诱导用户忽略扫描结果或手动放行
- 同源信任陷阱:对同一作者的多技能链式攻击检测能力不足
安全建议
强烈建议结合 AGENTS.md 策略强制化和 pre-commit 钩子实现自动化卡点,将 "信任但验证" 原则嵌入工作流。