🛡️ Skill Audit - AI技能安全扫描工具

每天自动扫描一次，守护你的Agent安全

功能特点

• 🔍 全面扫描 - 检查所有已安装的技能（npm包+扩展+workspace）
• 🛡️ 四大威胁检测
  • 🔴 硬编码凭证（密码、API密钥）
  • 🔴 环境变量泄露
  • 🔴 Shell注入风险
  • 🔴 网络请求外泄
• ⏰ 定时扫描 - 每24小时自动执行
• 📱 多渠道推送 - 自动发送到所有已配置的Channel
• 🎯 精准定位 - 告诉你是哪一行代码有问题

安全等级

等级	含义	建议
🔴 CRITICAL	严重漏洞	立即卸载
🟠 HIGH	高危风险	需人工确认
🟡 MEDIUM	中危隐患	可选处理
⚪ INFO	最佳实践	可忽略

使用方法

手动触发

scan skills
扫描技能
安全扫描
audit skills

定时任务

安装后自动创建每24小时的定时扫描任务。

报告示例

🛡️ Skill Audit Report
AI技能安全扫描 — 守护你的Agent
━━━━━━━━━━━━━━━━━━━━

📊 扫描概况
已扫描：53 个技能
✅ 安全：52 个
⚠️ 有隐患：1 个

📋 隐患详情
🔸 some-skill
   🔴 严重 1 个
   → Hardcoded credentials

💡 处理建议
🔴 立即卸载 /remove some-skill

━━━━━━━━━━━━━━━━━━━━

技术细节

• 扫描引擎: Python正则表达式静态分析
• 扫描范围: npm包技能、扩展技能、工作区技能
• 安装即用: 自动配置定时任务和渠道推送

安装要求

• OpenClaw 运行环境
• Python 3.7+
• 至少配置了一个消息渠道（Telegram/飞书等）

安装后

1. 安装完成后3分钟内收到首次扫描报告
2. 之后每24小时自动扫描一次
3. 报告发送到所有已配置的Channel