skills/rexshang/skillscanner

skillscanner

🛡️ ClawHub 技能安全检测专家

Gen Digital 官方安全扫描工具,通过 Scan API 验证 ClawHub 技能安全性,帮助用户在执行前识别潜在风险。

收藏
3.7k
安装
1.7k
版本
v1.0.1
CLS 安全性认证2026-05-13
点击查看完整报告 >

使用说明

核心用法

SkillScanner 是一个专门用于安全审计 ClawHub 平台技能的工具。用户只需提供目标技能的 ClawHub URL(格式为 https://clawhub.ai/author/skill-name),该技能便会调用 Gen Digital 的 Scan API 进行安全检测。API 返回包含 statusseverity 字段的 JSON 响应,用户据此判断技能是否安全可用:仅当 statusdoneseveritySAFE 时才建议继续使用。

显著优点

1. 权威背书:直接对接 Gen Digital 官方安全扫描基础设施,检测结果具有平台级可信度。
2. 零侵入设计:该技能本身仅提供查询指南,不执行任何代码、不访问文件系统、不读取环境变量,纯粹是只读的信息查询工具。
3. 决策清晰:通过结构化的状态码(done//analysis_pending)和严重等级(SAFE//WARNING//DANGEROUS//MALICIOUS),为用户提供明确的安全决策依据。
4. 风险教育:内置详细的风险说明表格,帮助用户理解技能可能带来的各类安全威胁(代码执行、文件访问、密钥泄露等)。

潜在缺点与局限性

1. 依赖外部 API:所有检测能力完全依赖 Gen Digital Scan API 的可用性和准确性,若 API 服务中断或更新,技能功能将失效。
2. 检测盲区:官方文档明确指出,API 反映的是后端当前判定结果,对于混淆代码或新型威胁可能存在漏报。
3. 人工审核延迟analysis_pending 状态意味着需要等待人工复核,用户无法获得即时结论,可能影响工作流效率。
4. 无主动防护:该技能仅提供检测建议,不具备拦截或沙箱执行能力,最终安全责任仍落在用户决策上。

适合的目标群体

  • ClawHub 平台重度用户:频繁安装和使用第三方技能的开发者或运营人员。
  • 企业安全团队:需要对外部引入的 AI 技能进行合规审查的安全审计人员。
  • 谨慎的普通用户:对技能来源存疑、希望在执行前获得权威安全背书的终端用户。

使用风险

  • API 依赖风险:网络波动或服务商变更可能导致查询失败。
  • 时效性风险:技能代码可能在扫描后更新,检测结果不代表未来版本的安全性。
  • 误报/漏报风险:新型攻击手法可能未被检测模型覆盖,需结合人工审查使用。

安全解读

核心用法

SkillScanner 是一款纯文档型安全辅助工具,旨在帮助用户验证 ClawHub 平台第三方 Skill 的安全性。用户只需提供目标技能的 ClawHub URL(格式为 https://clawhub.ai/author/skill-name),工具即通过调用 Gen Digital 官方扫描 API 返回安全评估结果。

使用流程极为简洁:
1. 向 API 端点 ai.gendigital.com/api/scan/lookup 发送 POST 请求,携带目标 Skill URL
2. 解析返回的 JSON,关注 statusseverity 两个关键字段
3. 仅当 status"done"severity"SAFE" 时,方可安全使用目标 Skill

显著优点

权威可信的数据源:直接对接 Gen Digital 官方安全扫描服务,非社区众包或黑盒检测,评估标准统一且持续更新。

零本地执行风险:本 Skill 本身为纯 Markdown 文档,无可执行代码、无第三方依赖、无敏感信息收集,从根本上杜绝了供应链攻击和本地代码注入风险。

隐私友好设计:仅传输技能 URL 进行查询,不收集用户环境变量、文件系统信息或其他敏感数据,符合 GDPR 数据最小化原则。

清晰的决策指引:将复杂的安全评估简化为明确的 "SAFE / 其他" 二元判断,降低普通用户的安全决策门槛。

潜在缺点与局限性

依赖外部服务可用性:若 Gen Digital API 服务中断或响应延迟,扫描功能将失效。

覆盖范围受限:仅支持已纳入 ClawHub 索引的 Skill,且扫描结果反映的是后端数据库的当前状态,可能存在检测盲区。

无法检测零日威胁:对于新出现的攻击模式或经过深度混淆的恶意代码,可能存在漏报风险。

人工审核队列analysis_pending 状态意味着该 Skill 仍在排队等待人工复核,此状态下无法给出确定性结论,用户需自行权衡等待或放弃。

适合人群

  • 频繁尝试新 Skill 的进阶用户和开发者
  • 企业/团队管理员,需为成员筛选可信工具
  • 安全意识较强、希望在安装前获得第二意见的普通用户
  • 任何使用 ClawHub 生态且关注系统安全的用户

常规风险

| 风险类型 | 说明 | 缓解措施 |
|---------|------|---------|
| API 误报/漏报 | 官方扫描可能未能识别全部威胁 | 结合沙箱运行、最小权限原则使用陌生 Skill |
| 网络中间人攻击 | 虽使用 HTTPS,但需确保证书链完整 | 验证域名 `ai.gendigital.com` 真实性 |
| 决策过度依赖 | 盲目信任 "SAFE" 结果而忽略其他安全措施 | 始终遵循纵深防御策略,不单一依赖任何扫描工具 |

综合评价

SkillScanner 作为 ClawHub 生态的"安全守门员",以极简的设计实现了高价值的安全验证功能。其纯文档架构彻底消除了自身成为攻击向量的可能,官方 API 背书则提供了超越社区自评的可信度。尽管存在外部依赖和检测盲区,但作为前置过滤工具,它显著提升了用户面对海量第三方 Skill 时的安全决策效率。建议所有 ClawHub 用户将其作为 Skill 安装流程的标准步骤。

securityapiautomationdevopstesting

skillscanner 内容

手动下载zip · 2.0 kB
SKILL.mdtext/markdown
请选择文件