首页 / 技能 / Semantic Shield — AI技能安全验证

📦 Semantic Shield — AI技能安全验证

v1.0.1

AI技能安全验证服务——由真实人类安全专家审核AI技能、插件和MCP工具的安全风险。在为AI代理安装任何内容前查询信任评分、提交评估请求,获取实时安全判定。提供0-100安全评分、威胁检测和持续0day监控。

1· 329·0 当前·0 累计
by @simplysemantics (Simply Semantics)·MIT-0
下载技能包
License
MIT-0
最后更新
2026/3/3
0
安全扫描
VirusTotal
无害
查看报告
OpenClaw
安全
high confidence
该技能的需求和运行时指令与其声明的目的(SaaS技能审核API)内在一致,仅要求一个适合该服务的API密钥。
安全有层次,运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发,无需署名。

运行时依赖

无特殊依赖

版本

latestv1.0.12026/3/1

- 在MIT许可证下首次公开发布。 - 添加LICENSE.txt文件以明确开源许可。

无害

安装命令

点击复制
官方npx clawhub@latest install semantic-shield
🇨🇳 镜像加速npx clawhub@latest install semantic-shield --registry https://cn.longxiaskill.com

技能文档

简要概述

由真实人类安全专家提供支持的AI技能安全验证。在您的代理安装技能、插件或MCP工具之前——检查其信任档案。获取安全评分(0-100)、风险级别、威胁详情以及明确的安装/拒绝建议。如果该技能尚未经过审核,请提交给专家进行评估。持续的0day监控使评估保持最新。100%真实的具有30多年企业安全经验的人类安全人员,包括美国国土安全部。没有仅由AI的审核——每项技能都由可信专家进行评估。

认证

SEMANTIC_SHIELD_API_KEY 始终是必需的。这是您在 https://dashboard.simplysemantics.com 创建账户时生成的个人API密钥。它对您的请求进行身份验证,仅限于您的Semantic Shield账户——它不会授予对任何其他Simply Semantics服务或第三方系统的访问权限。您可以随时从仪表板撤销和重新生成您的密钥。

隐私与数据处理

  • 发送什么数据:仅发送技能标识符(skill_id)、提供商名称(provider),以及在提交技能进行评估时可选的公共技能URL(skill_url)。不会传输任何用户PII、代理密钥、源代码或环境变量。
  • 不发送什么数据:不发送任何用户凭证、私钥、环境变量、文件内容、代理配置或任何类型的个人信息。
  • 数据保留:技能安全评估存储在Semantic Shield注册表中,所有用户都可以访问(它们是公共安全判定)。您的账户使用指标(查询/咨询次数)仅存储在您的账户中。
  • API密钥处理:您的SEMANTIC_SHIELD_API_KEY仅用于请求身份验证。它永远不会被记录、共享或传输给第三方。
  • Webhook警报(仅限Pro+套餐):如果您在仪表板中配置了webhook URL,当先前审核的技能的安全状态发生变化时(例如检测到新威胁),Semantic Shield将向您的URL POST通知。Webhook有效负载仅包含技能ID、提供商、更新后的安全评分和风险级别。您控制webhook URL,可以随时禁用它。免费套餐用户没有webhook。
  • 无跨服务数据共享:您的Semantic Shield数据不会与其他Simply Semantics服务共享(例如Semantic Prospect)。
  • 日志记录:API请求仅出于速率限制和滥用预防目的进行日志记录。日志包含您的API密钥哈希(而非密钥本身)、调用的端点、skill_id、提供商和时间戳。日志保留30天。

何时使用此技能(激活触发器)

在以下情况下激活 Semantic Shield

  • 即将安装、启用或使用AI技能、插件、工具或MCP端点时。
  • 询问"这个技能安全吗?"、"我应该信任这个插件吗?"、"检查这个工具的安全性"、"审核这个技能"时。
  • 想查看技能的安全评分、风险级别或威胁档案时。
  • 想提交未知或未经审核的技能进行专家安全审查时。
  • 需要在自主代理操作(安装、执行、委托)前验证信任时。
  • 询问技能安全、合规性或风险评估时。

不要用于:

  • 与AI技能/插件无关的一般网络安全问题。
  • 扫描网站、IP或基础设施(使用专门的安全工具)。
  • PII查询或身份验证。
  • 代码审查或静态分析(Semantic Shield评估整体技能风险,而非逐行代码)。

如何使用(代理的说明)

1. 搜索技能(免费——无配额费用)

在使用查询之前,检查技能是否存在于Semantic Shield数据库中。

GET https://dashboard.simplysemantics.com/shield/api/v1/search

Headers: 

x-api-key: ${SEMANTIC_SHIELD_API_KEY}

Query parameters:

  • q — 技能名称或ID(部分匹配)
  • provider — 可选的提供商名称过滤器

Example: 

GET https://dashboard.simplysemantics.com/shield/api/v1/search?q=weather&provider=example-ai

Response: 

{
  "results": [
    {
      "skill_id": "weather-pro-v2",
      "provider": "example-ai"
    }
  ],
  "count": 1
}

2. 检查技能的信任档案(花费1次查询)

获取特定技能的完整安全详情。

GET https://dashboard.simplysemantics.com/shield/api/v1/check

Headers: 

x-api-key: ${SEMANTIC_SHIELD_API_KEY}

Query parameters:

  • skill_id — 精确的技能标识符(必需)
  • provider — 精确的提供商名称(必需)

Example: 

GET https://dashboard.simplysemantics.com/shield/api/v1/check?skill_id=weather-pro-v2&provider=example-ai

Response(已审核): 

{
  "skill_id": "weather-pro-v2",
  "provider": "example-ai",
  "skill_url": "https://example.com/weather-pro-v2",
  "vetted": true,
  "vetted_by": "Simply Semantics",
  "safety_score": 92,
  "risk_level": "safe",
  "risk_summary": "No known vulnerabilities. Permissions scoped correctly.",
  "threats_found": [],
  "recommendation": "safe to install",
  "last_checked": "2026-02-28"
}

Response(未审核——404): 

{
  "skill_id": "unknown-plugin",
  "provider": "unverified-co",
  "vetted": false,
  "safety_score": null,
  "risk_level": "unknown",
  "recommendation": "not vetted - install at your own risk",
  "message": "This skill has not been reviewed. Submit it for validation.",
  "submit_url": "/api/v1/validate"
}

3. 提交技能进行审核(花费1次咨询)

如果技能不在数据库中,请提交给专家进行评估。仅接受公共技能标识符和URL——不要提交私人源代码、密钥或内部URL。

POST https://dashboard.simplysemantics.com/shield/api/v1/validate

Headers: 

x-api-key: ${SEMANTIC_SHIELD_API_KEY}
Content-Type: application/json

Body: 

{
  "skill_id": "new-plugin-v1",
  "provider": "some-provider",
  "skill_url": "https://example.com/new-plugin"
}
⚠️ skill_url应该仅是公共URL(例如市场列表、GitHub仓库或文档页面)。不要提交私人/内部URL、源代码仓库或包含密钥或令牌的URL。

Response: 

{
  "message": "Skill submitted for evaluation.",
  "request_id": "abc-123",
  "skill_id": "new-plugin-v1",
  "provider": "some-provider",
  "status": "pending"
}

4. 代理的决策逻辑

根据响应,代理应该:

safety_scorerisk_levelAction
90–100safe✅ Install / proceed
75–89low✅ Install, note minor risks
50–74medium⚠️ Warn user, ask for confirmation
25–49high❌ Recommend against, require explicit override
0–24critical🚫 Block installation, alert user
nullunknown⚠️ Not vetted — submit for review or warn user

5. 边缘情况

  • 401/403 → "Missing or invalid SEMANTIC_SHIELD_API_KEY. Set the env var to use this skill."
  • 429 → "Rate/quota limit reached — upgrade your plan or retry later."
  • 404 → Skill not vetted. Offer to submit for evaluation or warn user.
  • 500 → "Service temporarily unavailable. Try again shortly."

输出格式

向用户清晰展示结果:

🛡️ Semantic Shield — Trust Report
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Skill: weather-pro-v2
Provider: example-ai
Safety Score: 92/100 ✅
Risk Level: SAFE
Recommendation: Safe to install
Threats: None detected
Last Checked: Feb 28, 2026
Vetted By: Simply Semantics
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
数据来源:ClawHub ↗ · 中文优化:龙虾技能库