核心用法
SkillScan 是专为 AI Skill 生态设计的安全网关工具,采用「安装前拦截 + 安装后复核」的双层防护机制。其核心工作流程包括:
1. 触发场景全覆盖:无论是用户通过 .zip 上传、git clone、npx 安装,还是简单询问「这个 skill 安全吗」,系统自动激活扫描流程
2. 三级检测体系:
- 本地文件静态分析(目录结构、可疑代码模式)
- 云端哈希缓存查询(避免重复扫描已知安全包)
- 深度沙箱上传分析(未知包体提交至
skillscan.tokauth.com云端检测)
3. 分级响应策略:
- 安全/未知(Exit 0):直接放行
- 低中风险(Exit 1):弹窗警告,用户确认后可选继续
- 高危/严重(Exit 2):强制阻断,无例外通道
- 扫描失败(Exit 3):友好提示重试机制
显著优点
- 零信任架构:不预设任何 skill 可信,包括官方市场来源
- 性能优化:SHA256 目录指纹缓存机制,常见包秒级返回结果
- 跨平台:原生支持 Windows/macOS/Linux 三端部署
- 静默运维:自动每日更新威胁库,无需用户干预
- 开放 API:标准化 REST 接口便于第三方市场集成
潜在局限
- 网络依赖:未知包体必须上传云端,离线环境无法完成完整扫描
- 隐私考量:代码上传至第三方服务器,对闭源商业 skill 存在顾虑
- 误报风险:启发式规则可能标记合法但非常规的代码模式
- 覆盖盲区:动态行为分析能力有限,侧重静态代码检测
- 180秒超时:复杂包体可能因轮询超时而返回不确定状态
适合人群
- AI 助手平台运营方(构建 skill 市场的安全准入体系)
- 企业级 AI 部署团队(防止内部 skill 供应链污染)
- 安全意识较高的终端用户(个人设备上的 skill 来源管控)
- Skill 开发者(发布前自检,提升市场信任度)
常规风险
| 风险类型 | 说明 |
|---------|------|
| 供应链劫持 | 若 `SKILL_SCANNER_UPDATE_URL` 被恶意重定向,威胁库本身可被投毒 |
| API 密钥泄露 | 硬编码凭证扫描时需确保传输 TLS 完整性 |
| 绕过攻击 | 符号链接、路径遍历可能逃避目录级哈希校验 |
| 拒绝服务 | 超大 skill 包上传导致带宽/扫描队列拥塞 |
使用建议
企业部署建议配置私有扫描节点替代默认公有 API,并启用 first-run 对存量 skill 进行基线清查。个人用户遇到 Exit 2 阻断时,应视为强烈信号,除非能人工审计代码,否则不建议强制绕过。