核心用法
skill-guard 是一个安装前安全扫描工具,用于替代危险的 clawhub install 直接安装行为。通过 safe-install.sh 脚本,它在正式安装前将技能下载到临时目录,调用 mcp-scan 进行安全检测,仅通过检测的技能才会进入正式环境。
显著优点
- 零信任前置防护:填补了 ClawHub 缺乏安装时安全门的空白,所有技能必须过检才能安装
- 企业级扫描引擎:底层采用 Invariant Labs(已被 Snyk 收购)的 mcp-scan,具备行业认可度
- 威胁覆盖全面:可检测提示注入、恶意载荷、硬编码密钥、数据外泄 URL、第三方域泄露等五类核心风险
- 非侵入式设计:扫描在隔离的
/tmp/目录完成,失败技能自动隔离,不影响现有环境 - 透明可审计:明确的退出码(0=干净/1=错误/2=威胁)和保留的隔离副本支持人工复核
潜在缺点与局限性
- 依赖外部工具链:需要预装
clawhubCLI 和uv,增加了部署复杂度 - 扫描非实时更新:mcp-scan 的规则库更新频率未知,新型攻击手法可能存在检测滞后
- 仅覆盖静态威胁:对运行时动态行为(如技能安装后的网络通信)无持续监控能力
- 人工兜底风险:退出码 2 后用户可强制安装,安全决策权最终交由用户,存在误操作可能
- 无签名验证机制:未提及对技能发布者身份的密码学验证,供应链攻击(冒充合法作者)无法防御
适合人群
- 使用 ClawHub 生态且对 agent 安全有基本认知的技术用户
- 企业环境中需要为内部团队统一安全基线的平台管理员
- 频繁试用第三方技能的开发者(高风险行为群体)
常规风险
| 风险场景 | 说明 |
|---------|------|
| 绕过安装 | 用户图方便直接使用 `clawhub install` 跳过扫描 |
| 规则漏报 | 精心构造的多层编码攻击可能逃过静态检测 |
| 隔离目录残留 | `/tmp/skill-guard-staging/` 中的威胁样本若未及时清理,可能被误触发 |
| 社会工程 | 攻击者伪造扫描通过的报告诱导用户手动放行 |