# 信任层级

> 按来源可靠性分级审查力度，好钢用在刀刃上

---

## 5 级信任层级表

| 层级 | 来源类型 | 判定标准 | 审查力度 | 推荐行动 |
|:---|:---|:---|:---|:---|
| **L1** | 官方 / 旗舰 | 钟馗认证、官方维护、已通过完整扫描 | 低（仅增量 Diff） | 自动放行，记录版本信息 |
| **L2** | 高星 / 高下载 | GitHub 1000+ stars / ClawdHub 10000+ downloads / 有完整审计记录 | 中（全量静态扫描，跳过语义分析） | 扫描通过即可安装，无需人工 |
| **L3** | 知名作者 | 已知安全社区成员、历史贡献记录清白 | 中高（全量静态 + 语义穿透） | 需至少 2 名维护者签名 |
| **L4** | 新来源 / 未知 | 首次提交、无 Star 历史、作者不可考 | 最高（全量扫描 + 专家人工审计） | 安装前必须人工确认 |
| **L5** | 请求凭证 | Skill 声明需要 API Key / Token / 密钥 | 最高 + 人工授权 | **强制阻断**，必须人工明确授权方可安装 |

### 降级规则

- L1 在发现任何 R4-R8 漏洞时降级为 L3，三振后永久降为 L4
- L2 在一次扫描中出现 3 个以上 High 问题时降级为 L4
- 任何来源发现 R1/R2/R3 中任一 → 直接进拒绝名单，不走信任层级

---

## 即时拒绝红线 — 见此即斩

以下 17 条无需走完整审查流程，命中即裁定 🚫 恶意：

| # | 红线 | 检测说明 |
|:---|:---|:---|
| 1 | 向不明 URL 发起 curl / wget | IP 直连加重，域名字典匹配不到白名单则触发 |
| 2 | 外发数据至外部服务器 | Webhook / POST / upload / notify 至非官方域名 |
| 3 | 索要凭证 / Token / API Key | 任何 "请输入密钥" 或读取凭证文件的指令 |
| 4 | 无正当理由读取 ~/.ssh / ~/.aws / ~/.config | 除非 Skill 声明用途且匹配任务，否则直接判恶 |
| 5 | 访问 MEMORY.md / USER.md / SOUL.md / IDENTITY.md | 读取 Agent 身份记忆文件，典型隐私窃取 |
| 6 | 对任何内容执行 Base64 解码 | 解码 = 藏东西，99% 是恶意载荷 |
| 7 | eval() / exec() 接受外部输入 | 动态执行未验证代码，直接开后门 |
| 8 | 修改工作区外的系统文件 | /etc / C:\\Windows / ~/ 等系统路径写操作 |
| 9 | 安装未声明的依赖包 | pip install / npm install 无声明列表 |
| 10 | 网络调用使用 IP 而非域名 | 刻意隐藏目标身份 |
| 11 | 混淆代码（压缩 / 编码 / 精简） | 有意阻碍人工审查 |
| 12 | 请求 sudo / root / 提权 | 任何权限提升尝试 |
| 13 | 触碰凭证文件 | ~/.aws/credentials / ~/.kube/config / .env / .git-credentials |
| 14 | 硬编码 Token / API Key / 密码 | SKILL.md 或脚本中直接写入凭证明文 |
| 15 | 日志/缓存记录明文 PII | 对 email/phone/ID card 等个人信息不做脱敏 |
| 16 | 生成暴力/违法/歧视性内容 | Skill 描述中含诱导生成有害内容的指令 |
| 17 | 复述或索引受版权保护全文 | 要求 Agent"完整输出"受版权保护作品 |

---

## 审查力度速查

| 信任层级 | 静态扫描 | 语义穿透 | 行为模拟 | 专家审计 |
|:---|:---|:---|:---|:---|
| L1 官方 | 增量 Diff | — | — | — |
| L2 高星 | 全量 | — | — | — |
| L3 知名作者 | 全量 | 全量 | — | 可选 |
| L4 未知来源 | 全量 | 全量 | 全量 | 推荐 |
| L5 请求凭证 | 全量 | 全量 | 全量 | 强制 |

---

> **钟馗理**：先看是谁给的，再看给了什么。来源清白可快过，来路不明细审。