moltcops

🛡️ AI 技能预安装安全扫描仪

MoltCops 是一款本地优先的 AI 技能安全扫描工具,基于 20 条行为检测规则在安装前识别数据窃取、后门触发等威胁,零网络传输、零外部依赖,为 Agent 生态提供可审计的零信任防护。

收藏
2.1k
安装
711
版本
latest
CLS 安全性认证2026-05-21
点击查看完整报告 >

使用说明

核心用法

MoltCops 作为 AI Agent 技能的预安装安全扫描器,通过本地静态分析检测恶意代码模式。用户只需运行 python3 scripts/scan.py <skill-path>,即可对目标技能目录进行递归扫描。工具基于 20 条检测规则(MC-001 至 MC-020)覆盖提示词注入、代码注入、数据渗出、硬编码密钥、金融 drain 模式等六大威胁类别,最终输出 PASS/WARN/BLOCK 三级判定结果及详细风险定位,帮助用户在安装前做出安全决策。

显著优点

本地优先架构是该工具的核心竞争力。全程使用 Python 3 标准库(json, os, re, sys),无 pip 依赖、无 API 调用、无数据上传,确保敏感代码永不离开本地机器。相比传统杀毒软件依赖特征库的方式,MoltCops 采用行为模式检测,能识别零日攻击中的 drain 逻辑、睡眠触发器等新型威胁。其上下文感知过滤机制有效降低误报,如仅当环境变量名包含 KEY/SECRET 等敏感词时才触发警报,避免对正常开发操作的干扰。

潜在缺点与局限性

作为 T3 级社区来源工具,其权威性背书相对有限,虽代码透明可审计,但缺乏知名安全厂商或顶级开源基金会的维护背书。检测机制基于正则表达式匹配,存在固有误报风险,特别是在处理复杂的代码混淆或新型的 JavaScript 异步攻击模式时。更重要的是,该工具仅进行静态扫描,无法检测运行时逻辑漏洞或业务层面的安全隐患,也不能替代专业的渗透测试和代码审计。

适合的目标群体

该技能特别适合AI Agent 开发者平台运维人员,用于在 ClawHub、GitHub 等渠道安装第三方技能前的快速安全筛查。对于DevOps 工程师,可将其集成到 CI/CD 流水线中实现自动化安全门禁。安全研究员亦可利用其开放的规则集(rules.json)学习恶意代码检测模式,或作为教育工具展示 AI 供应链攻击的防护机制。鉴于其完全离线特性,也适合在对网络隔离要求极高的企业内网环境使用。

使用风险与注意事项

尽管工具本身安全,但规则库时效性是持续有效的关键,用户需定期手动更新 rules.json 以应对新型攻击向量。扫描结果仅作为技术参考,高置信度的人工复核仍不可替代,特别是对于 WARN 级别的告警。由于工具需要读取目标技能的全部文件内容,在扫描极大量文件时可能产生I/O 性能开销。此外,虽然工具本身无网络行为,但 SKILL.md 中提到的 Web 版扫描器(https://scan.moltcops.com)涉及网络传输,敏感代码应避免使用在线版本。

安全解读

核心功能

MoltCops 是一款专为 AI Agent 生态设计的预安装安全扫描器,在本地执行静态分析,检测 20 类恶意行为模式,包括提示词注入、数据外泄、后门触发、资金盗取等。其核心价值在于"本地优先"架构——全程无网络调用、无账号体系、无代码上传,敏感代码永不离开用户机器。

显著优点

1. 零信任前置防护:作为 Skill 安装前的最后一道防线,填补了传统安全工具的盲区。本周 ClawHavoc 事件显示,341 个恶意 Skill 潜伏于 ClawHub,MoltCops 可在安装前拦截此类威胁。
2. 极低使用门槛:纯 Python 3 标准库实现,单文件脚本即可运行,无需依赖管理,适配任何 Python 环境。

3. 行为而非签名检测:不同于 VirusTotal 等基于已知恶意签名的工具,MoltCops 识别行为模式(如 drain 逻辑、 sleeper 触发器),对 0day 恶意 Skill 同样有效。

4. 智能误报过滤:上下文感知规则减少噪音,如环境变量访问仅标记 KEY/SECRET 等敏感关键词,Git 操作白名单主流托管平台。

潜在局限

1. 静态分析边界:无法检测运行时动态生成的恶意代码(如从网络下载并执行),需配合动态沙箱补充。
2. 规则更新依赖:20 条检测规则需持续维护以应对新型攻击手法,用户需关注版本更新。

3. Skill 复杂度限制:对重度混淆或加密 payload 的识别能力有限,极端情况下可能漏报。

适合人群

  • 频繁安装第三方 Skill 的 AI Agent 用户
  • 企业安全团队(需审计内部或外部引入的 Agent 能力)
  • Skill 开发者(自审代码,确保无无意间引入的危险模式)

常规风险

  • 低风险:扫描器自身经六维安全认证(A级/92分),无危险函数、无网络行为、无数据收集。
  • 用户侧风险:若用户忽略 WARN/BLOCK verdict 强制安装,或扫描后 Skill 被二次篡改,安全承诺失效。
  • 生态风险:攻击者可能针对 MoltCops 规则设计绕过(如分片 payload、编码混淆),需保持规则库时效性。

moltcops 内容

scripts文件夹
手动下载zip · 6.4 kB
scan.pytext/plain
请选择文件