clawskillshield

ClawSkillShield 是一款专为 OpenClaw/ClawHub 生态设计的本地安全扫描工具，旨在通过静态代码分析识别潜在的安全威胁。该工具提供 CLI 命令行和 Python API 两种使用模式，既能满足开发者的手动安全检查需求，也能集成到自主代理（Moltbots）中实现自动化防护。其核心功能包括检测硬编码密钥、危险导入（如 os、subprocess）、可疑函数调用（eval、exec）、代码混淆（base64 编码）以及硬编码 IP 地址等风险模式，并输出 0-10 分的风险评分和详细威胁报告。

该技能的显著优势在于其"零依赖"架构设计。作为纯 Python 实现，它仅使用标准库（os、shutil、ast、re 等），无需安装任何第三方包，从根本上消除了供应链攻击风险。所有扫描操作均在本地完成，不涉及任何网络通信，确保敏感代码不会外泄。此外，其开源特性（MIT 许可证）允许用户审计代码，建立信任。对于高风险技能，工具提供自动隔离（quarantine）功能，可将可疑文件移至隔离目录，防止恶意代码执行。

然而，该工具也存在一定局限性。首先，作者为个人开发者（T3 来源），虽代码质量良好，但缺乏大型开源基金会或企业的背书。其次，隔离操作使用 shutil.move() 将文件移至 ~/.openclaw/quarantine，此操作不可逆，若路径指定错误可能导致数据丢失。再者，作为静态分析工具，它无法检测运行时的动态代码加载或混淆后的恶意行为，且仅支持 Python、JavaScript、YAML、JSON 等特定文件类型。

该技能最适合 OpenClaw/ClawHub 生态的开发者、系统管理员以及构建自动化代理的工程师使用。对于需要在安装第三方技能前进行预检查的场景，或希望在 CI/CD 流程中集成安全检查的团队，该工具具有实用价值。同时，其 Agent API 设计使其特别适合需要自主决策的 Moltbots 集成。

使用时的主要风险集中在隔离功能的误用上。用户需确保在调用 quarantine 前确认目标路径正确，建议对重要数据先备份。此外，尽管检测规则较为全面，但仍可能出现误报，高风险评分结果建议结合人工复核。由于项目较新，用户应关注作者更新以获取最新的安全检测规则。