ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

虾安全

v1.0.0

虾安全 — 基于腾讯/字节研究报告的 OpenClaw Agent 安全监控 skill。监控 CIK(Capability/Identity/Knowledge)三个维度,检测持久状态污染攻击、凭证外传、可疑脚本。

0· 71·0 current·0 all-time
by@luis1213899

Install

OpenClaw Prompt Flow

Install with OpenClaw

Best for remote or guided setup. Copy the exact prompt, then paste it into OpenClaw for luis1213899/xia-anquan.

Previewing Install & Setup.
Prompt PreviewInstall & Setup
Install the skill "虾安全" (luis1213899/xia-anquan) from ClawHub.
Skill page: https://clawhub.ai/luis1213899/xia-anquan
Keep the work scoped to this skill only.
After install, inspect the skill metadata and help me finish setup.
Use only the metadata you can verify from ClawHub; do not invent missing requirements.
Ask before making any broader environment changes.

Command Line

CLI Commands

Use the direct CLI path if you want to install manually and keep every step visible.

OpenClaw CLI

Bare skill slug

openclaw skills install xia-anquan

ClawHub CLI

Package manager switcher

npx clawhub@latest install xia-anquan
Security Scan
Capability signals
Requires sensitive credentials
These labels describe what authority the skill may exercise. They are separate from suspicious or malicious moderation verdicts.
VirusTotalVirusTotal
Benign
View report →
OpenClawOpenClaw
Benign
high confidence
Purpose & Capability
名称与描述(CIK 维度监控、检测持久状态污染、凭证外传、可疑脚本)与包含的 Node.js 脚本行为一致:脚本扫描 ~/.openclaw/workspace 下的 Identity/Memory/skills,寻找可疑 URL、动态 eval、rm -rf / 类模式并记录结果。所需资源(Node.js 运行时、读取 workspace)与目的相符。
Instruction Scope
SKILL.md 与脚本明确要求读取用户 HOME 下的 .openclaw/workspace(检查 SOUL.md/USER.md/MEMORY.md/skills/** 等)并写入 ~/.cik-audit 下的快照、日志和状态文件;这与其监控目的相关且限定在用户主目录下,但会访问并分析用户的脚本与状态文件(可能包含敏感信息),脚本未显示把这些数据发送到远端。
Install Mechanism
无安装流程(instruction-only + 内含脚本文件)。代码随 skill 一并提供,没有从不受信任的 URL 下载或解压外部二进制,风险较低;唯一依赖是 Node.js 18+,这是明确声明的。
Credentials
不要求任何额外环境变量或外部凭证;运行时使用 HOME 和 workspace 路径以访问要监控的文件,这与目标一致。没有请求不相关的密钥或第三方凭证。
Persistence & Privilege
默认不强制常驻(always:false)。脚本包含守护进程模式(--daemon),可长期运行并定期调用本地 audit 脚本;这会在用户主目录下保留日志/快照(持久存储),并可通过 child_process 启动本地 Node 进程;在组合其它高权限设置时应谨慎,但单独看无越权行为。
Assessment
该 skill 看起来是内部一致的本地安全监控工具:它会读取并分析 ~/.openclaw/workspace 下的身份文件、记忆文件和 skill 脚本,并在 ~/.cik-audit/ 下写入快照与日志。建议在安装/启用前:1) 用文本编辑器快速审阅 scripts/audit.cjs 和 scripts/monitor.cjs(已包含在包内);2) 在隔离环境或容器中先运行一次: node scripts/audit.cjs --json,查看输出与生成的快照(~/.cik-audit/snapshots/),确认没有泄露原始文件内容;3) 考虑监控数据的敏感性——快照和日志会包含文件名与检测细节,可能泄露信息;4) 如果希望长期运行,限制其运行帐户的权限并定期删除历史快照/日志。总体上内部一致,但在将其作为长期守护进程运行前应手动验证生成的日志/快照内容以避免意外泄露敏感数据。
scripts/monitor.cjs:47
Shell command execution detected (child_process).
Patterns worth reviewing
These patterns may indicate risky behavior. Check the VirusTotal and OpenClaw results above for context-aware analysis before installing.

Like a lobster shell, security has layers — review code before you run it.

Runtime requirements

🦐 Clawdis
latestvk9774mq5g41gh0ts062f46zxrd85dwe8
71downloads
0stars
1versions
Updated 5d ago
v1.0.0
MIT-0
@luis1213899
latest
Download

🦐 虾安全 (CIK Security Monitor)

基于论文 "Your Agent, Their Asset: A Real-World Safety Analysis of OpenClaw" (arxiv:2604.04759) 开发的专项安全监控 skill。

攻击者可通过污染持久状态文件让 Agent "自愿"执行恶意操作,攻击成功率高达 89.2%。CIK 框架从三个维度进行防护:

维度监控文件威胁
Capabilityskills/可执行脚本含隐藏恶意代码,直接在OS层运行
IdentitySOUL.md / USER.md / IDENTITY.md污染"信任锚点",Agent把敏感数据发给攻击者
KnowledgeMEMORY.md / memory/伪造习惯,"按惯例"触发恶意操作

核心功能

功能说明
Identity 监控SOUL.md / USER.md / IDENTITY.md / AGENTS.md / HEARTBEAT.md 文件存在性和内容完整性
Knowledge 监控MEMORY.md 可疑行为指令扫描(伪造习惯类攻击)
Capability 监控skills/ 目录新增脚本的可疑模式检测
外部URL检测指向可疑免费域名(.xyz/.tk/.ml/.ga/.cf等)的请求
凭证外传检测凭证与可疑URL一起出现时报警
动态代码执行eval/exec处理用户输入的检测
根目录删除rm -rf / 或等效危险命令检测
快照备份每次检查自动保存快照到 ~/.cik-audit/snapshots/
告警日志所有异常记录到 ~/.cik-audit/alerts.log

快速开始

一次性安全检查(主要用法)

node skills/cik-security/scripts/audit.cjs

输出示例:

🛡️  CIK Security Audit v4
时间: 2026-04-23T07:52:01.083Z

[Identity (身份)] (扫描 5 个文件)
  ✅ 无严重问题

[Knowledge (知识)] (扫描 2 个文件)
  ✅ 无严重问题

[Capability (能力)] (扫描 165 个脚本)
  ✅ 无严重问题

📁 快照: C:\Users\26240\.cik-audit\snapshots
📁 告警: C:\Users\26240\.cik-audit\alerts.log

指定维度检查

node skills/cik-security/scripts/audit.cjs --check identity   # 只检查 Identity 文件
node skills/cik-security/scripts/audit.cjs --check knowledge  # 只检查 Knowledge 文件
node skills/cik-security/scripts/audit.cjs --check capability  # 只检查 Capability (skills)

实时监控(守护进程)

# 每5分钟检查一次
node skills/cik-security/scripts/monitor.cjs --daemon --interval 300

# 详细输出
node skills/cik-security/scripts/monitor.cjs --daemon --interval 60 --verbose

JSON 输出(供其他工具调用)

node skills/cik-security/scripts/audit.cjs --json

检测规则详情

可疑外部URL(白名单过滤)

只报警指向免费/动态DNS域名的请求:

  • .xyz .tk .ml .ga .cf .gq .top .work .click .loan .site .info .cc .ws .name .pro .pw .nu .ms .mu .mc .lc .ki .gs .fit .dog .bar .bid .club .online

可信域名白名单(不报警): openai.com anthropic.com googleapis.com feishu.cn minimax.io github.com openclaw.dev clawhub.ai api.minimax.io skills.sh ensue-network.ai

凭证外传检测

同时满足以下条件才报警:

  1. 代码中有凭证相关字段(api_key / token / secret / credential)
  2. 该URL不在白名单中

动态代码执行

只报警 eval(req.|body.|input.|data.|params.|query.|headers.|cookies). 模式(用户输入进入 eval)

根目录删除

只报警 rm -rf /Remove-Item ... -Recurse -Force $/(排除了正常清理如 rm -rf $HOME/.cache

文件结构

cik-security/
├── _meta.json
├── SKILL.md
├── package.json
└── scripts/
    ├── audit.cjs    # 主扫描脚本(Node.js)
    └── monitor.cjs  # 守护进程脚本(Node.js)

快照与日志

  • 快照目录: ~/.cik-audit/snapshots/
  • 告警日志: ~/.cik-audit/alerts.log
  • 监控日志: ~/.cik-audit/monitor.log(守护进程模式)
  • 状态文件: ~/.cik-audit/monitor-state.json

与 HEARTBEAT 的集成

建议在 HEARTBEAT.md 中添加安全检查任务:

## CIK 安全检查(每6小时一次)
- 运行: node skills/cik-security/scripts/audit.cjs
- 检查 Identity 文件修改时间
- 检查 Knowledge 可疑模式
- 检查 Capability 可疑脚本

依赖

  • Node.js 18+
  • PowerShell 5.1+(用于 HEARTBEAT 集成)

Comments

Loading comments...