核心用法
skill-guard 是一个 ClawHub 技能的客户端预安装安全网关。用户执行 ./scripts/safe-install.sh <skill-slug> 替代直接的 clawhub install,脚本会自动:
1. 将技能下载到临时沙箱目录(/tmp/skill-guard-staging/),避免污染真实工作区
2. 调用 mcp-scan(Invariant Labs 开发,已被 Snyk 收购)进行静态分析
3. 根据扫描结果决定放行安装(exit 0)或隔离威胁(exit 2)
显著优点
- AI 原生威胁检测:专精于提示注入(如
<!-- IGNORE PREVIOUS INSTRUCTIONS -->)、隐藏指令链、数据外泄 URL 等传统杀毒软件无法识别的攻击向量 - 零信任架构:在技能获得代理权限之前完成检查,而非事后补救
- 实际验证有效:官方案例显示某恶意技能被 VirusTotal 76 引擎全部漏检,但 skill-guard 检出 5 类高危/警告问题
- 透明可审计:威胁样本保留在临时目录供人工复核,支持强制安装覆盖
- 权威背书:底层扫描引擎 mcp-scan 来自安全厂商 Snyk(通过收购 Invariant Labs)
潜在缺点与局限性
- 依赖外部生态:需同时安装
clawhubCLI 和uv工具链,对非技术用户有一定门槛 - 静态分析边界:mcp-scan 基于规则/模式匹配,可能漏检高度混淆的对抗性提示或零日攻击
- 覆盖范围有限:仅支持 ClawHub 技能格式,无法泛化到其他 MCP 服务器或插件系统
- 误报风险:AI 技能的"创造性提示"可能触发保守规则的误拦截,需人工复核
- 无持续监控:安装后技能更新或运行时行为变化不在保护范围内
适合人群
- 高频安装第三方 ClawHub 技能的高级用户和开发者
- 企业环境中需要合规审查的 AI 代理运维团队
- 对提示注入和数据安全有强意识的 Agent 平台运营者
常规风险
- 供应链风险:mcp-scan 本身若被篡改将造成系统性盲区
- 操作习惯风险:用户可能因频繁遇到警告而养成
--force习惯性绕行 - 临时目录残留:隔离的威胁样本若未及时清理,可能成为本地隐患
- 网络依赖:扫描过程需下载技能包,存在网络层面的拦截或投毒中间人风险