Privacy Scanner

v1.1.0

发布前隐私扫描。在发布 skill 到 ClawHub 或公开仓库前，扫描代码中是否包含敏感信息（webhook、token、用户名路径、飞书 ID、内网 IP、Discord/Slack/Telegram、JWT、SSH 私钥、数据库连接、第三方 API Key 等）。当用户提到发布、publish、隐私检查、...

⭐ 0· 280·2 current·2 all-time

bySyfy@m17y

OpenClaw Prompt Flow

Install with OpenClaw

Best for remote or guided setup. Copy the exact prompt, then paste it into OpenClaw for m17y/privacy-scanner.

Previewing Install & Setup.

Prompt PreviewInstall & Setup

Install the skill "Privacy Scanner" (m17y/privacy-scanner) from ClawHub.
Skill page: https://clawhub.ai/m17y/privacy-scanner
Keep the work scoped to this skill only.
After install, inspect the skill metadata and help me finish setup.
Use only the metadata you can verify from ClawHub; do not invent missing requirements.
Ask before making any broader environment changes.

Command Line

CLI Commands

Use the direct CLI path if you want to install manually and keep every step visible.

OpenClaw CLI

Canonical install target

openclaw skills install m17y/privacy-scanner

ClawHub CLI

Package manager switcher

npx clawhub@latest install privacy-scanner

Security Scan

VirusTotal

Benign

View report →

OpenClaw

Benign

high confidence

✓

Purpose & Capability

技能名/描述与实际内容一致。SKILL.md 指示运行包含的脚本，脚本实现了列出的 ~20 项正则/路径检测（webhook、API key、私钥、JWT、数据库连接、邮箱、手机号等），没有请求与功能无关的凭据或外部服务。

✓

Instruction Scope

运行指令限定为本地脚本（在技能目录下的 scripts/privacy-scan.sh），脚本只遍历并 grep/find 指定扫描目录的文件并输出匹配项。脚本会使用 whoami/hostname 来检测与主机/用户相关的痕迹，但这些行为在隐私扫描场景内是合乎目的的。未发现将数据发送到外部端点或模糊/开放式的“收集所有上下文”指令。

✓

Install Mechanism

无安装规范（instruction-only + 附带脚本），因此不会下载或执行远程代码。脚本依赖于标准 shell/grep/find 等本地工具，这是合理且与用途相称。

✓

Credentials

不要求任何环境变量或凭据。脚本未读取未声明的系统凭据或配置路径（仅访问用户指定的扫描目录及常见文件名），没有不成比例的权限需求。

✓

Persistence & Privilege

技能未设置 always:true，允许用户按需调用；脚本不会修改其他技能或全局代理配置，也不会持久化凭据或自我启用。

Assessment

总体上该技能内部一致且低风险，但在安装/运行前请注意： - 在首次运行前快速浏览 scripts/privacy-scan.sh（它是纯 Bash，便于审计）。 - 仅对你打算检查的目录运行该脚本（它会扫描并打印匹配项），不要把 / 或敏感系统目录作为扫描目标以避免噪音或意外泄漏。 - 脚本不会联网或上报结果，但会在终端输出匹配内容；对任何报告为“❌”的项，请在公开前撤销/替换相关密钥或凭据。 - 注意跳过规则可能隐藏某些位置（例如 node_modules 和 .git 被跳过），若怀疑，手动检查这些目录或临时移除跳过规则。 - 可在 CI 中用 --strict 模式强制失败以保证发布前检查通过。

Like a lobster shell, security has layers — review code before you run it.

latestvk97a3dp3hpjbnvwry2dsrj93c982dqsn

280downloads

0stars

2versions

Updated 1mo ago

v1.1.0

MIT-0

Privacy Scanner - 发布前隐私扫描

扫描代码/技能目录中是否包含敏感信息，防止隐私数据泄露到 ClawHub 或公开仓库。

快速使用

# 扫描当前目录
bash ~/.openclaw/skills/privacy-scanner/scripts/privacy-scan.sh

# 扫描指定目录
bash ~/.openclaw/skills/privacy-scanner/scripts/privacy-scan.sh ~/.openclaw/skills/my-skill

# 严格模式（发现任何问题即退出码非零）
bash ~/.openclaw/skills/privacy-scanner/scripts/privacy-scan.sh --strict /path/to/skill

扫描项（20 项）

#	类别	检测内容	严重程度
1	Webhook URL	飞书等 webhook	❌
2	飞书 ID	ou_/oc_/om_ + 20位	❌
3	用户名路径	/Users/xxx, /home/xxx	❌
4	API Key	sk-, ghp_, xoxb-, AKIA	❌
5	Bearer Token	Bearer xxx (20+字符)	❌
6	内网 IP	192.168.x.x, 10.x.x.x	⚠️
7	邮箱	user@domain.com	⚠️
8	手机号	中国大陆 11 位	❌
9	敏感文件	.env, credentials.json, 私钥	❌
10	密码/Secret	password="xxx", secret="xxx"	❌
11	Discord Webhook	discord.com/api/webhooks/	❌
12	Slack Webhook	hooks.slack.com/services/	❌
13	Telegram Bot Token	123456:ABCdef...	❌
14	数字 ID	Discord/Telegram 17-19位	⚠️
15	JWT Token	eyJxxx.eyJxxx.xxx	❌
16	SSH 私钥	-----BEGIN PRIVATE KEY-----	❌
17	数据库连接	mongodb://, postgresql://	❌
18	第三方 API Key	OpenAI, Anthropic, Stripe, Google	❌
19	主机名/机器名	当前 hostname	⚠️
20	公网 IP	非内网的 IPv4	⚠️

跳过规则

以下文件/目录自动跳过：

node_modules/, .git/, backups/
logs/, *.log, *.tmp
agents/, extensions/
二进制文件（图片、压缩包等）

输出

✅ 通过 — 未发现隐私泄露
⚠️ 警告 — 可能是占位符，需人工确认
❌ 失败 — 确认是真实敏感数据

在公约中使用

参考 AGENTS.md 中的「发布到 ClawHub 公约」，发布前必须通过此扫描。

Comments

Loading comments...