claw-lint

ClawLint 是一款专为 OpenClaw 技能生态设计的静态安全审计工具，通过零执行风险的代码扫描机制，在恶意技能运行前识别潜在威胁。该工具针对 ~/.openclaw/skills 目录下的技能包进行深度静态分析，无需实际执行代码即可检测远程命令执行、凭据窃取、后门植入等恶意模式，并基于风险严重程度输出 0-100 分的量化评分。

核心用法围绕命令行审计展开。用户可通过 {baseDir}/bin/claw-lint.sh 执行全局扫描或针对特定技能进行定向检查（--skill <name>）。工具支持风险阈值过滤（--min-score）、完整文件哈希清单生成（--full）以及 JSON 格式输出（--format json），便于集成到 CI/CD 流水线实现自动化安全门禁。扫描结果以颜色编码的风险评分表呈现，标记包括 pipes_remote_to_shell、downloads_remote_content 等关键风险指标。

显著优点体现在其架构安全性与运营友好性。作为纯静态分析工具，ClawLint 从根本上消除了扫描过程中激活恶意代码的可能性，采用 grep 模式匹配识别 7.1% 已知的 ClawHub 技能缺陷模式。其风险评分体系科学合理，对远程执行（+25 分）、凭据访问（+30 分）等高危行为给予权重惩罚，同时生成 SHA256 哈希基线支持文件完整性监控。对标准 Unix 工具的依赖使其在 Ubuntu/Debian/EC2 环境无需额外安装即可运行。

然而，该工具存在固有局限性。纯静态分析无法捕获运行时动态生成或混淆的恶意代码，基于正则的模式匹配可能产生误报（如合法的网络下载被标记为风险），且无法审计编译后的二进制文件内容。此外，当前版本仅支持本地已安装技能的扫描，无法在安装前对 ClawHub 远程包进行预审。

适合的目标群体包括：OpenClaw/Claude 技能的重度用户、企业级 AI 应用平台的 DevOps 工程师、注重供应链安全的开发团队，以及需要符合合规要求的系统管理员。对于通过 ClawHub 安装第三方技能的个人开发者，该工具提供了必要的预执行安全验证层。

使用风险主要集中在来源可信度与检测盲区。作为 T3 级个人开发者作品（parthghumatkar），虽代码本身通过安全审计，但长期维护与更新承诺存在不确定性。技术层面，静态分析无法替代动态沙箱检测，对于零日漏洞或高度混淆的攻击向量可能漏检。建议结合人工代码审查与 VirusTotal 等二进制扫描工具构建纵深防御。