ClawSec 没有直接的中文翻译,通常保持为 ClawSec,因为它是一个特定的品牌或项目名称。
v1在安装前扫描ClawHub技能的安全漏洞 — 9个威胁情报来源,7个自主检查,瞬间slug扫描。
by 运行时依赖
安装命令
点击复制技能文档
⚡ ClawSec 为 ClawHub 技能提供安全验证。使用 7 项自动安全检查和 9 个持续更新的威胁情报源,扫描任意技能 —— 无论是本地路径还是 ClawHub slug。 ClawSec 扫描技能目录中的安全问题,在安装之前。它检查依赖项对已知漏洞数据库,扫描硬编码的密钥,检测入侵指标,并查找提示注入向量 —— 所有这些都不会发送您的数据到任何地方。 一条命令可以扫描任意 ClawHub 技能:clawsec scan weather-forecast 这会下载技能从 ClawHub,扫描它,显示结果,并清理。没有手动步骤。 或者扫描本地技能目录:clawsec scan ./my-skill 何时使用此技能 使用 ClawSec 当您即将从 ClawHub 安装一个技能并希望验证它是否安全。也使用它当您开发自己的技能 —— 在发布之前运行扫描以捕获早期问题。 参数 target(必需)—— 本地目录路径或 ClawHub 技能 slug(例如 weather-forecast)。如果提供 slug,技能将被临时下载,扫描并删除。 checks(可选)—— 逗号分隔的检查列表:dep-scan、static-analysis、secret-scan、yara-scan、ioc-match、behavioral、prompt-inject。默认:所有 7 项。 json(可选)—— 以 JSON 格式输出结果,以便程序使用。 返回值 ClawSec 输出一个结构化报告,包含: verdict —— 通过、警告或失败 findings —— 发现的问题数组,每个问题都有严重性(严重、高、中)、描述和文件位置 report_id —— 短 ID,用于稍后通过 clawsec report 检索 退出代码: 0 = 通过 1 = 警告 2 = 失败 检查 检查 名称 说明 dep-scan 交叉引用依赖项对 CISA KEV 和 OSV 数据库 static-analysis 运行 Semgrep 规则以查找安全反模式 secret-scan 使用 Gitleaks 扫描硬编码的 API 密钥、令牌和凭据 yara-scan 匹配文件对 YARA 规则以查找恶意软件模式 ioc-match 匹配 IP、域名、URL 和文件哈希对 ThreatFox、URLhaus、MalwareBazaar 和 Feodo 跟踪器 behavioral 检测可疑模式:eval 使用、shell 注入、数据泄露向量、DNS 隧道 prompt-inject 检测提示注入和指令隐藏模式在 SKILL.md 威胁情报源(9,持续同步) CISA KEV · OSV(npm + PyPI)· EPSS · MalwareBazaar · URLhaus · ThreatFox · Feodo Tracker · YARA Rules · Semgrep Rules 运行 clawsec sync 刷新情报缓存。 安全和隐私 没有数据离开您的机器。所有扫描都发生在本地。没有遥测、没有电话回家、没有分析。下载的技能被沙盒化。 当通过 slug 扫描时,技能被下载到 0700 权限的临时目录中,所有文件在扫描前都被剥夺执行权限,npm postinstall 脚本被抑制。技能在扫描后被删除。凭据保持本地。ClawSec 读取环境变量以进行配置,但永远不会传输它们。 外部端点 ClawSec 从以下公共源下载威胁情报源在 clawsec sync 期间: 源 URL 发送的数据 CISA KEV https://www.cisa.gov/sites/default/files/feeds/ None(仅 GET) OSV https://api.osv.dev/v1/query 包名 + 版本用于依赖项查找 EPSS https://epss.cyentia.com/api/v1/ None(仅 GET) MalwareBazaar https://mb-api.abuse.ch/api/v1/ None(POST 用于哈希查找) URLhaus https://urlhaus-api.abuse.ch/v1/urls/ None(仅 GET) ThreatFox https://threatfox-api.abuse.ch/api/v1/ None(POST 用于 IOC 查找) Feodo Tracker https://feodotracker.abuse.ch/downloads/ None(仅 GET) YARA Rules https://github.com/Yara-Rules/rules.git None(git 克隆) Semgrep Rules https://github.com/returntocorp/semgrep-rules.git None(git 克隆) 在 clawsec scan 期间,没有网络请求。所有情报都是本地的。 本地文件 读取 ~/.clawsec/intel/ —— 威胁情报缓存 技能目录作为扫描目标 本地文件写入 ~/.clawsec/intel/ —— 同步的威胁情报数据 ~/.clawsec/reports/ —— 扫描报告(JSON) ~/.clawsec/venv/ —— Python 虚拟环境用于扫描检查 信任声明 通过使用 ClawSec,您信任上述列出的威胁情报源提供准确的漏洞和 IOC 数据。没有技能代码或扫描目标被传输到任何外部服务。仅在您信任 Low Watt Labs 项目和列出的情报源时安装。 安装 npm install -g @lowwattlabs/clawsec 第一次运行自动创建 Python venv 并同步威胁情报。之后,clawsec scan 可以在零配置的情况下运行。 Docker docker build -t lowwattlabs/clawsec . docker run -p 3100:3100 lowwattlabs/clawsec 定价 免费。没有付费层、没有 API 密钥、没有限制。如果您觉得它有用,请给我买一杯咖啡。 许可 MIT-0 —— 与所有 ClawHub 技能相同。