Yoder Skill Auditor

核心用法

Skill Auditor 是专为 OpenClaw/ClawHub 生态设计的安全扫描工具，提供从安装前检查到持续监控的完整安全工作流。主要操作模式包括：

• 单技能审计：audit.sh 执行18项安全检测
• 信任评分：trust_score.py 输出0-100分的五维评估（安全35分、质量22分、结构18分、透明度15分、行为10分）
• 版本对比：diff-audit.sh 识别更新引入的安全回退
• 趋势追踪：--save-trend 存储历史分数，支持长期健康监控
• 批量扫描：audit-all.sh 与 benchmark.sh 适用于企业级技能资产管理

显著优点

1. 检测能力领先：业界首个在技能文档中识别提示注入攻击（prompt injection）的扫描器，覆盖Agent操控指令、角色劫持、隐藏HTML指令等攻击向量
2. 检测维度全面：18项检查涵盖凭据窃取、混淆载荷、加密钱包地址、依赖混淆、域名仿冒、符号链接攻击、下载执行、权限提升等关键威胁类别
3. 误报控制优秀：明确区分代码中的敏感操作与文档中的凭据提及（后者仅标记INFO），并内置12个测试技能验证检测精度
4. 运维友好：支持JSON输出便于CI/CD集成，提供明确的退出码（0=通过/1=需审查/2=失败），内置允许列表机制减少重复审计负担

潜在局限

• 生态专属性：专为OpenClaw/ClawHub设计，无法直接应用于其他Agent平台（如LangChain、AutoGPT等）的技能格式
• 静态分析边界：对运行时行为（如动态代码生成、外部API返回的恶意指令）检测能力有限
• 评分主观性：五维评分权重固定，可能不完全匹配特定组织的风险偏好
• 无自动修复：仅提供检测报告，不主动清理或隔离恶意技能

适合人群

• OpenClaw/ClawHub 用户：任何从公共仓库安装技能的终端用户
• 安全团队：需要建立技能供应链安全管控的企业安全运营人员
• 技能开发者：希望自检发布前安全质量的技能作者
• 合规审计人员：需生成标准化安全报告以满足内控或监管要求

常规风险

• 过度依赖评分：60分以下（D级）明确建议拒绝，但40-60分区间仍需人工判断，不可完全自动化决策
• 滞后性威胁：新出现的攻击向量（如针对特定LLM模型的越狱提示）可能未被现有规则覆盖
• 允许列表滥用：盲目将技能加入allowlist.json会削弱整体防护，需配套变更审查流程
• 供应链信任：工具本身依赖Python和Bash环境，需确保执行环境未被篡改

核心功能

skill-auditor 是专为 OpenClaw/ClawHub 生态系统打造的专业安全扫描工具，集成 18 项深度安全检查，覆盖从传统漏洞到 AI 时代新型攻击向量的完整防护体系。其首创的提示词注入检测能力，可识别技能文档中隐藏的 "ignore instructions"、角色劫持、HTML 隐藏指令等代理操纵攻击。

五大评估维度

• Security（35 分）：18 项安全检查结果加权计算
• Quality（22 分）：文档完整性、示例质量、元数据规范
• Structure（18 分）：文件组织、测试覆盖、代码范围合理性
• Transparency（15 分）：开源许可、无混淆代码、注释清晰度
• Behavioral（10 分）：速率限制、错误处理、输入验证

评分采用 A-F 等级制（90+/75+/60+/40+/<40），支持历史趋势追踪与多技能对比分析。

显著优势

1. 零误报承诺：经 28 项自动化断言验证，对合法技能实现零误报
2. 供应链防护：独创依赖混淆、拼写抢注（typosquatting）检测
3. 智能白名单：内置 24 个已知凭证技能（1Password、GitHub 等）的透明豁免机制
4. 完整工具链：从单技能审计到批量基准测试，覆盖 CI/CD 全流程

潜在局限

• 依赖 subprocess 调用 bash 脚本，需确保执行环境可信
• 静态分析模式无法捕获运行时动态行为
• 18 项检测规则需持续更新以覆盖新兴攻击向量

适用场景

• 安装前验证：ClawHub 技能预安装安全审查
• 持续监控：定期审计已安装技能，追踪信任分变化
• 更新审查：diff-audit 对比版本变更，防范回归风险
• 企业合规：benchmark 批量扫描生成聚合报告

风险提示

• 测试目录含 8 个恶意样本（仅用于验证检测能力），需确保 .clawignore 配置生效
• 建议拒绝信任分低于 60（D 级）的技能，禁止安装低于 40（F 级）的技能
• 虽经 CLS-Certify v2.1.0 认证（85 分 A 级），仍建议在隔离环境预演后生产部署