ClawHub
Skill flagged — suspicious patterns detected

ClawHub Security flagged this skill as suspicious. Review the scan results before using.

Apollo Immu

v2.0.1

像免疫系统一样拦截危险操作,守护你的数据和系统安全。自动识别危险操作,信任积累减少确认噪音。

0· 106·0 current·0 all-time
by@nic-yuan

Install

OpenClaw Prompt Flow

Install with OpenClaw

Best for remote or guided setup. Copy the exact prompt, then paste it into OpenClaw for nic-yuan/apollo-immu.

Previewing Install & Setup.
Prompt PreviewInstall & Setup
Install the skill "Apollo Immu" (nic-yuan/apollo-immu) from ClawHub.
Skill page: https://clawhub.ai/nic-yuan/apollo-immu
Keep the work scoped to this skill only.
After install, inspect the skill metadata and help me finish setup.
Use only the metadata you can verify from ClawHub; do not invent missing requirements.
Ask before making any broader environment changes.

Command Line

CLI Commands

Use the direct CLI path if you want to install manually and keep every step visible.

OpenClaw CLI

Bare skill slug

openclaw skills install apollo-immu

ClawHub CLI

Package manager switcher

npx clawhub@latest install apollo-immu
Security Scan
VirusTotalVirusTotal
Suspicious
View report →
OpenClawOpenClaw
Suspicious
medium confidence
Purpose & Capability
技能声明为‘拦截危险操作并基于信任积累放行’——脚本(interceptor.py / trust_tracker.py)确实实现了这套逻辑,说明与目的基本一致。但注册元数据声明“无必需二进制/环境变量”,而脚本实际以 python3 运行且在运行时依赖 INTERCEPTOR_CONTEXT 环境变量用于自动学习,这与声明不一致(缺少对 python3 及该 env var 的显式依赖声明)。
Instruction Scope
SKILL.md 的指令与脚本行为一致:在执行高危操作前运行 interceptor.py,使用 trust_tracker.py 更新/重置信任,信任数据保存在 assets/trust_db.json。指令未要求读取系统范围外的敏感配置或发送数据到外部网络,唯一运行时输入是可选的 INTERCEPTOR_CONTEXT(对话消息内容)用于自动学习。
Install Mechanism
没有 install 规范(instruction-only + 随包脚本),因此不会从远端下载或安装额外软件。代码文件包含在包内,运行时会在本地读写 assets/trust_db.json。风险较低但需注意:脚本假定运行环境有 python3 可用,包没有声明这一点。
!
Credentials
注册信息声明不需要环境变量,但 interceptor.py 会读取 INTERCEPTOR_CONTEXT 环境变量用于自动识别亲密/降级信号并触发自动 update/reset 操作。该环境变量未在元数据中声明——这是文档/权限不一致。脚本不请求任何外部 API keys 或凭证,也不进行网络通信,所需权限仅为读写技能目录下的 assets/trust_db.json。
Persistence & Privilege
技能没有设置 always:true,也没有修改其他技能或系统范围的配置。它会在包目录下创建/更新 assets/trust_db.json(本地持久化),这是其正常功能所必需且已文档化。
What to consider before installing
该技能实现了与描述一致的本地拦截与信任计数逻辑,未向外部发送数据或请求云凭证,但请在安装前确认以下几点: - 运行时要求:脚本以 python3 运行且会调用 trust_tracker.py(subprocess.run),但注册信息未声明 python3 为必需二进制。确认你的代理运行环境提供 python3。 - 未声明的环境变量:interceptor.py 从 INTERCEPTOR_CONTEXT 读取对话内容以触发自动学习/降级;该 env var 未在元数据中列出。确认你的代理只在你愿意时向技能传递对话文本(避免无意泄露上下文)。 - 本地持久化:信任记录保存在包内的 assets/trust_db.json,会被读写。若担心隐私或持久状态,请检查文件位置并评估备份/权限。 - 自动更新行为:当检测到“亲密”信号时技能会自动调用 update(无需显式用户确认),这会在第三次后放行相同操作——如果你偏好更保守策略,应禁用或限制自动学习(例如不要设置 INTERCEPTOR_CONTEXT 或改为手动 update)。 - 代码审计建议:代码总体简单明了、无网络/外部端点,但建议在受控环境中运行并审阅 INTIMATE_PATTERNS / DOWNGRADE_PATTERNS 以确保它们符合你的语言/文化上下文,避免误判导致自动放行或过多拦截。 总体:功能和实现基本一致、没有明显的远程数据泄露行为,但文档与运行时假设存在不一致(python3 与 INTERCEPTOR_CONTEXT),因此在确认运行环境和 env 传递策略前,谨慎安装。

Like a lobster shell, security has layers — review code before you run it.

latestvk972amtbne2zy64ks4nvwyd7ks84d2z6
106downloads
0stars
4versions
Updated 2w ago
v2.0.1
MIT-0
@nic-yuan
latest
Download

marketplace_description: | 像免疫系统一样工作——自动识别危险操作,信任积累减少确认噪音。

核心功能: • 危险操作拦截:删除文件、对外发消息、执行命令、变更权限前自动确认 • 三级收件人风险:🔴高风险(群聊/外部)始终拦截 / 🟡中风险记录信任 / 🟢低风险(亲密同事)3次确认后自动放行 • 智能信任积累:同一操作+同一收件人,第3次确认后自动放行 • 7天自然衰减:超过7天无操作,信任归零重新计数 • 亲密信号检测:自动识别「好的」「哈哈」「ok」等,降低打扰 • 降级信号检测:识别「等等」「确认」,自动提高风险等级 • 动态收件人判断:算法判断而非硬编码,智能适应不同场景

适用场景:AI助手执行敏感操作时自动保护,让常用操作更顺畅

Apollo Immu

实时拦截危险操作的零信任防御系统。核心理念:事前拦截优于事后验证,通过信任积累自动学习减少确认噪音。

核心概念

拦截公式

拦截判断 = 操作类型风险 × 收件人风险等级 × 信任积累

收件人风险等级

风险等级典型对象拦截策略
🔴 高老板、群聊、所有成员始终拦截,不学习
🟡 中普通同事、外部联系人始终拦截,但记录信任
🟢 低亲密同事(自动识别)3次确认后自动放行

信任积累机制

  • 同一操作 + 同一收件人 → 第1次确认 → 记1次
  • 第3次确认后 → 该组合自动放行
  • 超过7天无重复 → 信任衰减,重新计数

自动学习(精髓)

当对话中出现以下信号时,AI应主动更新信任数据库:

识别亲密同事的信号(满足任一即可):

  • 对话风格轻松随意,使用表情、语气词(哈、哈哈、嗯嗯、ok)
  • 从未要求AI"确认"或"请先问我"
  • 回复短快(<30字),无正式套话
  • 主动发起闲聊或生活话题

信任更新触发(每满足一次就 update):

python3 scripts/trust_tracker.py update <收件人> <操作类型>

降级信号(亲密同事可能变成需确认):

  • 用户说"等等"、"先别"、"确认一下"
  • 用户明确拒绝操作建议
  • 出现2次以上"等等"

强制执行流程

在任何危险操作执行前,必须先运行拦截判断:

python3 scripts/interceptor.py <操作类型> <收件人> [文件路径]
  • 返回 intercept: false → 继续执行
  • 返回 intercept: true → 暂停,向用户确认后再执行
  • 确认后调用 trust_tracker.py update 记录信任

拦截决策流程

检测到操作
    ↓
判断操作类型风险
    ↓
获取收件人风险等级
    ↓
检查trust_db.json中的信任分数
    ↓
┌─────────────────────────────────┐
│ 风险等级高(老板/群聊)  → 拦截 │
│ 风险等级中            → 拦截    │
│ 风险等级低+信任<3     → 拦截    │
│ 风险等级低+信任≥3     → 放行    │
└─────────────────────────────────┘

使用场景

场景A:删除文件前拦截

用户要求删除文件时 → 判断是否在临时目录 /tmp → 如不是则拦截

场景B:对外发消息前拦截

AI准备发送飞书/微信/邮件消息时 → 根据收件人判断 → 高风险始终拦截

场景C:权限变更前拦截

分享文档、改权限等操作 → 高风险收件人始终拦截

脚本使用

interceptor.py — 判断是否拦截

python3 scripts/interceptor.py <操作类型> <收件人> [其他参数]

返回:是否拦截 + 拦截原因

trust_tracker.py — 更新信任分数

python3 scripts/trust_tracker.py update <操作类型> <收件人>
python3 scripts/trust_tracker.py get <收件人>
python3 scripts/trust_tracker.py reset <收件人>

参考文档

  • risk_levels.md:操作风险分级标准 + 收件人风险分类详细规则
  • auto_learn.md:自动识别亲密同事的算法和规则

信任数据库

信任分数存储在 assets/trust_db.json,结构:

{
  "contacts": {
    "收件人A": { "操作类型": { "count": 3, "lastConfirm": "时间戳" } }
  }
}

Comments

Loading comments...