ClawHub

安全审核标准_自动化

v1.1.0

自动扫描skills目录中的Skill文件,进行安全审计、风险评分并提供安装建议,确保安全安装策略执行。

0· 112·0 current·0 all-time
by@tlcyqj2023

Install

OpenClaw Prompt Flow

Install with OpenClaw

Best for remote or guided setup. Copy the exact prompt, then paste it into OpenClaw for tlcyqj2023/skill-vetter-safe.

Previewing Install & Setup.
Prompt PreviewInstall & Setup
Install the skill "安全审核标准_自动化" (tlcyqj2023/skill-vetter-safe) from ClawHub.
Skill page: https://clawhub.ai/tlcyqj2023/skill-vetter-safe
Keep the work scoped to this skill only.
After install, inspect the skill metadata and help me finish setup.
Use only the metadata you can verify from ClawHub; do not invent missing requirements.
Ask before making any broader environment changes.

Command Line

CLI Commands

Use the direct CLI path if you want to install manually and keep every step visible.

OpenClaw CLI

Bare skill slug

openclaw skills install skill-vetter-safe

ClawHub CLI

Package manager switcher

npx clawhub@latest install skill-vetter-safe
Security Scan
VirusTotalVirusTotal
Benign
View report →
OpenClawOpenClaw
Benign
high confidence
Purpose & Capability
名称与描述声明的功能(扫描 skills 目录、检测可疑关键词、生成风险评分与报告)与 scan_skills.py 实现一致;未请求与该目的无关的凭据或二进制。
Instruction Scope
SKILL.md 明确指示运行本地脚本以扫描 skills 目录,脚本确实只读扫描代码文件并生成 JSON 报告。不过脚本会在扫描目录中写入报告文件(技能安全审计报告.json),并使用硬编码的默认路径(~/.claude/skills、/workspace/skills、Windows 下 C:\Users\Administrator\.claude\skills),这些行为应被用户知悉。
Install Mechanism
无安装步骤或远程下载、无第三方包安装;为指令 + 本地脚本类型,磁盘写入仅限生成报告文件。
Credentials
未声明也未使用任何环境变量或凭证;脚本不进行网络通信或外部 API 调用,所需权限与任务相称。
Persistence & Privilege
技能不要求始终启用(always:false)且允许用户触发;唯一持久性是向目标 skills 目录写入一份报告文件,用户应接受脚本在该目录创建/覆盖该文件。
Assessment
这个技能实现了其宣称的本地安全扫描功能且没有请求凭据或联网能力,但在安装或运行前请注意: - 脚本会在检测到的 skills 目录中写入一个 JSON 报告文件,确认你接受该文件被创建或覆盖;如有疑虑,可先在该目录的拷贝上运行。 - 脚本使用简单的关键字匹配(每命中扣分),可能产生误报或漏报——不要仅凭该评分自动拒绝或批准安装;把其报告作为参考并进行人工复核。 - 脚本在 Unix/Windows 上有默认路径判断(含 Windows 的 Administrator 路径),如果你的 skills 存放路径不同,先确认 SKILLS_DIR 是否正确。 总体上此技能内部一致且风险低,但建议在受控环境或在对目标目录做好备份后运行。

Like a lobster shell, security has layers — review code before you run it.

auditvk979tznf7hdm27d2qeyep7x87983pdzqautomationvk979tznf7hdm27d2qeyep7x87983pdzqchinesevk979tznf7hdm27d2qeyep7x87983pdzqlatestvk979tznf7hdm27d2qeyep7x87983pdzqsecurityvk979tznf7hdm27d2qeyep7x87983pdzq
112downloads
0stars
1versions
Updated 1mo ago
v1.1.0
MIT-0
@tlcyqj2023
auditautomationchineselatestsecurity
Download

安全审核标准_自动化

元信息

  • name: 安全审核标准_自动化
  • description: 自动扫描 skills 目录,对所有 Skill 文件进行安全审计、风险评分和安装建议
  • version: 1.1
  • author: 系统安全策略

触发词

  • 扫描技能
  • 批量检查技能
  • 安全审计
  • 风险分析
  • 安装建议
  • 自动化

核心流程

用户请求扫描 skills 目录时,执行以下流程:

  1. 自动扫描 skills/ 目录(含子目录),遍历所有 .py / .json / .js 文件
  2. 提取信息:文件名、类型、大小、最后修改时间
  3. 执行安全检查
    • 检查是否包含 eval / exec / os.system / subprocess 等代码执行关键词
    • 检查是否包含 requests.get / urllib / socket 等网络访问
    • 检查是否包含 sudo / chmod / chown 等高权限操作
  4. 计算评分(初始100分,每命中一处扣20分)
  5. 输出风险等级
    • 0-30分:🔴 禁止
    • 31-70分:🟡 谨慎
    • 71-100分:🟢 安全
  6. 输出结构化报告
    • 文件基本信息
    • 风险检测结果
    • 风险评分 & 等级
    • 安装建议
  7. 风险评分 < 40 的文件,不输出任何安装步骤或下载链接

运行方式

执行脚本:

python3 skills/skill-vetter-safe/scan_skills.py

输出文件:

  • skills/技能安全审计报告.json

评分标准

评分等级建议
71-100🟢 安全允许安装
31-70🟡 谨慎谨慎安装,建议沙箱运行
0-30🔴 禁止禁止安装

安全原则

  1. 只读扫描,不修改任何 skills 文件
  2. 报告不通过审核,不提供任何安装指引
  3. 扫描结果永久记录,可追溯

Comments

Loading comments...