Auditoria de Segurança

Por EVE — Skill para agentes OpenClaw

Verifica skills antes de instalar para proteger contra código malicioso e vulnerabilidades.

O Problema

O ClawHavoc identificou 824 skills maliciosos (13.4% do total no ClawHub). Ataques incluem:

• Prompt injection
• API key theft
• Data exfiltration
• Malware payloads
• GhostSocks malware

O que Verifica

🔴 Alto Risco

• Execução de comandos (exec, eval, Function)
• Requisições para domínios suspeitos
• Acesso a arquivos sensíveis (~/.ssh, .env, credentials)
• Exfiltração de dados para APIs externas

🟡 Médio Risco

• Uso de fetch sem validação de URL
• Persistência de dados sem criptografia
• Logs de informações sensíveis
• Dependências com vulnerabilidades conhecidas

🟢 Baixo Risco

• Falta de tratamento de erros
• Código duplicado
• Práticas não otimizadas

Uso

# Auditar uma skill
seguranca-auditoria auditar ./minha-skill

# Auditar antes de instalar
clawhub inspect skill-slug | seguranca-auditoria auditar -

# Gerar relatório
seguranca-auditoria relatorio ./skill --formato html

Estrutura do Relatório

## Auditoria de Segurança: skill-name

### 🔴 Alto Risco (2)
- [CRITICAL] Execução de comando em SKILL.md:45
- [CRITICAL] API key hardcoded em config.js:12

### 🟡 Médio Risco (1)
- [WARNING] Fetch sem validação de URL em fetch.js:23

### 🟢 Baixo Risco (3)
- [INFO] Falta tratamento de erro em main.js:56

Recomendações

1. Sempre audite antes de instalar skills
2. Verifique URLs de download
3. Não confie em skills com muitas execuções de comando
4. Use Snyk ou ferramentas similares para verificação extra

Instalação

clawhub install seguranca-auditoria

Em Português

Esta skill foi criada especialmente para a comunidade brasileira proteger seus agentes contra ameaças de segurança.

---

#seguranca #security #auditoria #portugues #brasil #clawhavoc