Skill Vetter - Pre-Install Security Review

核心功能

skill-vetter 是一套面向 AI Agent 生态的安全审查协议，旨在解决第三方技能（Skill）安装前的风险评估问题。随着 AI Agent 可执行代码能力的增强，恶意技能可能窃取凭证、外泄数据或执行任意命令，本工具提供标准化的预安装审查流程。

显著优点

1. 系统化审查框架：四步审查协议（来源核查→代码审查→权限评估→风险分级），将主观安全判断转化为可执行检查清单
2. 红标检测清单：明确列举 13 类高危模式（curl/wget 到未知 URL、base64 解码、eval/exec 执行、凭证文件访问等），大幅降低漏检风险
3. 四级风险分类：LOW/MEDIUM/HIGH/EXTREME 分级体系，配合具体行动建议（直接安装/完整审查/用户确认/拒绝安装），决策边界清晰
4. 可复用报告模板：结构化审查报告格式，支持审计追溯和团队知识沉淀
5. 零依赖零风险：本技能为纯 Markdown 文档，无可执行代码，自身即通过 S+ 安全认证

潜在局限

1. 依赖人工执行：审查流程需 Agent/用户逐条执行，无法完全自动化，对高频安装场景效率有限
2. 示例依赖经验：红标判断需结合上下文（如 curl 调用官方 API vs 可疑域名），新手可能误判
3. 无实时威胁情报：未集成动态更新的恶意技能数据库，新型攻击模式可能滞后覆盖
4. 来源信任分级较粗：T1/T2/T3 三级体系对 GitHub 生态区分度有限（1000+ stars 与 50 stars 同列为"中等审查"）

适合人群

• AI Agent 用户：频繁安装第三方技能的个人或企业用户
• Agent 平台运营方：需建立技能上架安全审核流程的团队
• 安全研究人员：研究 AI Agent 供应链攻击的攻防技术
• 企业 IT 管理员：管控内部 Agent 技能白名单

常规风险

• 误用风险：将文档示例误判为真实威胁（如 Base64 恶意代码示例），或反之漏检真实恶意代码
• 流程绕过：用户因便利性和紧迫性跳过审查步骤，直接安装未验证技能
• 社会工程学：攻击者伪造审查报告或冒充官方来源诱导信任
• 审查滞后：技能更新后未重新审查，历史安全 ≠ 当前安全

---

认证信息：CLS-Certify S+ 级（100分），纯文档类型，零依赖，OpenClaw Community 维护

核心用法

skill-vetter 是一款纯 Markdown 的安全审查指南 skill，专为 AI agent 安装第三方 skill 前的风险评估设计。它不提供自动化扫描工具，而是以系统化的人工审查协议为核心，通过四大步骤（来源检查、代码审查、权限评估、风险分级）帮助用户识别 credential theft、obfuscated code、data exfiltration 等安全威胁。

使用流程清晰：首先验证 skill 来源可信度（ClawHub 官方/社区/GitHub 知名/未知作者），然后强制逐行阅读所有文件，对照 13 项红旗指标（如 curl 到未知 URL、base64 解码、访问 ~/.ssh、eval/exec 调用等）进行排查，最后按 LOW/MEDIUM/HIGH/EXTREME 四级风险分类给出安装建议。

显著优点

1. 零攻击面设计：纯文档无代码，自身不会成为攻击载体
2. 系统化方法论：提供可复制的审查清单和报告模板，降低人为遗漏
3. 威胁教育价值：内含真实攻击示例（如 credential theft、obfuscated payload），提升用户安全意识
4. 最小权限原则强调：明确倡导 skill 只应访问绝对必要的资源
5. 社区生态整合：与 zero-trust-protocol、drift-guard 等安全 skill 形成防御体系

潜在局限

• 依赖人工执行：无自动化扫描能力，审查质量高度依赖用户耐心和技术水平
• 无法验证运行时行为：静态文档审查无法检测 skill 安装后的动态恶意行为
• 来源可信度中等：T3 级社区项目，非顶级基金会背书
• 红旗清单可能滞后：新型攻击手法未必及时覆盖

适合人群

• 频繁从 ClawHub/GitHub 安装 skill 的 AI agent 用户
• 需要为团队建立 skill 安全审查流程的技术负责人
• 安全意识较强、愿意投入时间进行人工代码审查的用户

常规风险

该 skill 本身无风险，但需注意：用户若未严格执行审查流程直接安装被 vet 的 skill，仍可能遭受攻击。建议与自动化安全扫描工具配合使用，形成"文档指导 + 工具验证"的双重保障。