skill-defender

🛡️ AI技能生态的离线安全卫士

OpenClaw官方安全扫描工具,纯离线模式匹配检测恶意技能,零依赖、秒级扫描,为AI Agent生态提供Layer 2防御层。

收藏
1.6k
安装
460
版本
v1.0.0
CLS 安全性认证2026-06-04
点击查看完整报告 >

使用说明

核心用法

Skill Defender 是 OpenClaw 生态的专用安全扫描器,通过确定性模式匹配(非LLM)检测已安装技能中的恶意代码。提供两种运行模式:

  • 单技能扫描 ( (scan_skill.py):针对特定技能目录进行深度检测,支持JSON/可读格式输出,返回0-3退出码标识安全等级
  • 批量扫描 ( (aggregate_scan.py):全量审计所有已安装技能,内置白名单机制过滤安全类技能的固有误报,生成聚合报告

自动触发场景覆盖新技能安装、版本更新及周期性安全审计,也可响应用户指令执行定向扫描。

显著优点

1. 零依赖架构:纯Python标准库实现(3.9+),彻底规避供应链攻击风险
2. 极致性能:单技能扫描<1秒,30+技能批量扫描约30秒,无API成本

3. 14类威胁覆盖:从Prompt注入、凭证窃取、RCE到后门、数据外泄、代码混淆等全维度检测

4. 智能白名单:自动识别安全扫描器、认证依赖型技能、配置修改类技能的合法模式,显著降低误报

5. 工程化设计:清晰的退出码体系、输出大小保护(512KB上限)、超时机制(60秒/技能)、路径自动探测

潜在局限

  • 模式匹配边界:基于正则的确定性检测可能遗漏新型混淆技术或零日攻击模式,需配合其他安全层
  • 误报不可避免:安全文档、配置说明中的示例代码可能触发检测,需人工复核或配置排除规则
  • 无行为分析:静态扫描无法捕获运行时动态行为,对加密载荷或环境依赖型后门检测能力有限
  • 生态绑定:专为OpenClaw技能结构优化,通用性受限

目标群体

  • OpenClaw/Clawdbot 用户:所有安装第三方技能的终端用户,尤其是企业部署场景
  • 平台运营者:需批量审计技能仓库安全性的管理员
  • 安全研究人员:研究AI Agent供应链攻击的分析师
  • 技能开发者:发布前自检代码合规性的创作者

使用风险

  • 性能影响:大规模技能库扫描时磁盘I/O密集,建议在低负载时段执行
  • 路径遍历误用:扫描器接受任意目录参数,需确保调用方权限管控,避免非授权路径探测
  • 结果解读门槛:"Suspicious"评级需人工研判,自动阻断策略可能误伤合法技能
  • 白名单维护成本:新型安全工具或认证模式需持续更新白名单,否则产生系统性误报

安全解读

核心功能

Skill Defender 是一款专为 OpenClaw/Claude Code 生态设计的安全扫描工具,采用确定性模式匹配(非 LLM)实现 Layer 2 防御。核心能力包括:

  • 威胁检测:识别提示注入、凭证窃取、数据外泄、混淆载荷、后门等恶意模式
  • 双模式扫描scan_skill.py 单技能扫描 + aggregate_scan.py 批量全库审计
  • 智能分级:Clean(安全)/ Suspicious(可疑)/ Dangerous(危险)三档判定
  • 误报抑制:内置 allowlist 机制,自动豁免安全扫描器、认证类技能等已知安全模式

显著优点

| 维度 | 表现 |
|------|------|
| **性能** | 单技能 <1 秒,30+ 技能批量扫描约 30 秒 |
| **零成本** | 纯本地运行,无 API 调用费用 |
| **零依赖** | Python 3.9+ 标准库唯一,无供应链风险 |
| **隐私合规** | 数据不上传,符合 GDPR 最小化原则 |
| **透明可审计** | 代码完全开源,检测逻辑公开 |

局限性与风险

  • 模式匹配局限:基于正则的静态分析,无法检测零日攻击或语义级混淆代码
  • T3 来源:个人开发者维护(itsclawdbro),无企业级 SLA 保障
  • 自指悖论:扫描器自身会被标记(含检测模式),需依赖 allowlist 豁免
  • 运行时盲区:仅分析静态代码,不监控实际运行行为

适合人群

  • 频繁安装第三方 skills 的开发者
  • 企业内需要定期安全审计的 DevSecOps 团队
  • 对隐私敏感、要求完全离线运行的用户

常规风险提示

建议在隔离环境(容器/虚拟机)中首次验证,确认行为符合预期后再投入生产。可与 LLM 动态分析工具形成互补防护体系。

skill-defender 内容

references文件夹
scripts文件夹
手动下载zip · 20.2 kB
threat-patterns.mdtext/markdown
请选择文件