skills/jamesouttake/skill-guard

skill-guard

🛡️ 安装前安全扫描,拦截恶意技能

security榜 #7

安装前自动扫描 ClawHub 技能的安全漏洞,基于 Snyk 收购的 Invariant Labs 技术,拦截提示注入、恶意代码和密钥泄露。

收藏
43.7k
安装
11.1k
版本
1.0.1
CLS 安全性认证2026-06-04
点击查看完整报告 >

使用说明

核心用法

skill-guard 是一个安装前安全扫描工具,用于替代危险的 clawhub install 直接安装行为。通过 safe-install.sh 脚本,它在正式安装前将技能下载到临时目录,调用 mcp-scan 进行安全检测,仅通过检测的技能才会进入正式环境。

显著优点

  • 零信任前置防护:填补了 ClawHub 缺乏安装时安全门的空白,所有技能必须过检才能安装
  • 企业级扫描引擎:底层采用 Invariant Labs(已被 Snyk 收购)的 mcp-scan,具备行业认可度
  • 威胁覆盖全面:可检测提示注入、恶意载荷、硬编码密钥、数据外泄 URL、第三方域泄露等五类核心风险
  • 非侵入式设计:扫描在隔离的 /tmp/ 目录完成,失败技能自动隔离,不影响现有环境
  • 透明可审计:明确的退出码(0=干净/1=错误/2=威胁)和保留的隔离副本支持人工复核

潜在缺点与局限性

  • 依赖外部工具链:需要预装 clawhub CLI 和 uv,增加了部署复杂度
  • 扫描非实时更新:mcp-scan 的规则库更新频率未知,新型攻击手法可能存在检测滞后
  • 仅覆盖静态威胁:对运行时动态行为(如技能安装后的网络通信)无持续监控能力
  • 人工兜底风险:退出码 2 后用户可强制安装,安全决策权最终交由用户,存在误操作可能
  • 无签名验证机制:未提及对技能发布者身份的密码学验证,供应链攻击(冒充合法作者)无法防御

适合人群

  • 使用 ClawHub 生态且对 agent 安全有基本认知的技术用户
  • 企业环境中需要为内部团队统一安全基线的平台管理员
  • 频繁试用第三方技能的开发者(高风险行为群体)

常规风险

| 风险场景 | 说明 |
|---------|------|
| 绕过安装 | 用户图方便直接使用 `clawhub install` 跳过扫描 |
| 规则漏报 | 精心构造的多层编码攻击可能逃过静态检测 |
| 隔离目录残留 | `/tmp/skill-guard-staging/` 中的威胁样本若未及时清理,可能被误触发 |
| 社会工程 | 攻击者伪造扫描通过的报告诱导用户手动放行 |

安全解读

核心用法

skill-guard 是一款安全防护工具,用于在从 ClawHub 安装 Skill 前执行强制性安全扫描。用户通过 ./scripts/safe-install.sh <skill-slug> 替代原生的 clawhub install 命令,实现"下载-扫描-决策"的三段式安全流程。

工作原理

1. 沙箱下载:Skill 首先被下载至 /tmp/skill-guard-staging/ 临时目录,与真实工作环境隔离
2. 深度扫描:调用 Invariant Labs(已被 Snyk 收购)开发的 mcp-scan 工具,执行六维安全检测
3. 智能决策

  • 退出码 0:扫描通过,自动完成安装
  • 退出码 2:发现威胁,Skill 保持隔离状态供人工审查

安全检测能力

| 威胁类型 | 检测示例 |
|---------|---------|
| 提示词注入 | `<!-- IGNORE ALL PREVIOUS INSTRUCTIONS -->` 等隐藏指令 |
| 恶意载荷 | 嵌套在 Markdown 中的危险 shell 命令 |
| 凭证泄露 | 硬编码 API Key、Token、私钥 |
| 数据外泄 | 构造外联 URL 窃取会话数据或文件内容 |
| 中毒依赖 | 第三方域名的不可信数据传输 |

显著优点

  • 零信任架构:不依赖 ClawHub 平台的审核机制,用户端自主把控
  • 工业级扫描引擎:mcp-scan 由安全厂商 Invariant/Snyk 维护,覆盖 140+ 威胁模式
  • 最小侵入设计:仅使用 clawhubuv 两个标准工具,无额外依赖包
  • 透明可审计:隔离目录保留原始文件,支持人工复核扫描结果
  • 代码质量优秀:采用 set -euo pipefail 等安全 Bash 实践,参数解析完善

潜在局限

1. 检测滞后性:mcp-scan 的规则库更新频率决定检测能力,新型攻击模式可能存在窗口期
2. 行为分析有限:当前以静态扫描为主,动态污点分析能力依赖外部工具
3. 人工审查门槛:发现威胁后需要用户具备基础安全知识判断误报/漏报
4. 生态依赖:需预先安装 clawhub CLI 和 uv 工具链,增加首次配置成本
5. 仅覆盖安装时:运行时 Skill 的行为变化(如动态拉取配置)无法持续监控

适合人群

  • 安全意识较强的 ClawHub 用户:频繁尝试社区第三方 Skill 的开发者
  • 企业级 AI 代理部署:需要合规审计和供应链安全管控的组织
  • 安全研究人员:需要批量审计 Skill 生态的白帽黑客
  • 高敏感环境用户:代理具有文件系统、消息记录等关键数据访问权限的场景

常规风险

| 风险场景 | 说明 | 缓解建议 |
|---------|------|---------|
| 扫描绕过 | 混淆代码或新型编码绕过静态检测 | 结合动态沙箱测试 |
| 工具链投毒 | `uv` 或 `clawhub` 本身被篡改 | 校验工具签名,使用官方安装源 |
| 社会工程 | 用户无视威胁警告强制安装 | 建立安全培训机制 |
| 性能开销 | 大型 Skill 扫描耗时显著增加 | CI/CD 流水线中异步执行扫描 |

认证信息

  • 安全等级: S(满分 100)
  • 来源可信度: T3(社区项目)
  • 合规认证: GDPR/CCPA/数据最小化
  • 检测维度: 静态分析、动态行为、依赖审计、网络分析、隐私合规、威胁情报(全部通过)
securitymcp-scanclawhubprompt-injectionmalware-detectionsupply-chain-securitypre-flight-checkquarantine

skill-guard 内容

scripts文件夹
手动下载zip · 3.9 kB
safe-install.shtext/x-shellscript
请选择文件