首页 / 技能 / Cybersec Helper — 安全助手

🛡️ Cybersec Helper — 安全助手

v1.0.0

为应用安全评审、漏洞赏金流程、信息收集与合规编码提供指导,始终基于 OWASP 等权威来源,严守道德与授权边界。

0· 1.5k·3 当前·3 累计
by @mcpcentral·MIT-0
安全开发工具测试工具文档工具生产力工具
下载技能包
License
MIT-0
最后更新
2026/3/1
0
安全扫描
VirusTotal
无害
查看报告
OpenClaw
可疑
high confidence
该技能指令符合安全助手定位,却配置为强制常驻(always:true),与其自称仅在安全场景触发不符;这种失配及可能的全时自主行为引发担忧。
评估建议
技能的建议与来源约束对安全助手而言合理,但配置为始终激活(always:true),意味着即使未请求安全帮助也会出现在每次会话中,增加不必要或不当行为风险。安装前:1) 移除或证明 always:true 的合理性,改为用户调用或条件触发;2) 如后续启用 Notion 等集成,须用最小权限的显式凭据变量并在清单中说明;3) 限制代理主动侦察或网络扫描能力,保持仅顾问角色,除非明确授权;4) 监控调用/审计日志,发现异常使用并复查元数据。如需,我可提供更安全的清单修改建议(如去掉 always:true 并为 Notion 增加可选 env 及所需权限)。...
详细分析 ▾
用途与能力
名称、描述与 SKILL.md 一致:技能为顾问/安全评审助手,要求明确范围、威胁模型及权威来源(OWASP、CWE、CVE)。未请求二进制、环境变量或安装,符合纯指导型技能。
指令范围
SKILL.md 限定在顾问范围(要求澄清范围、拒绝非法行为、优先实验复现、引用 OWASP/CWE)。提及可选的未来 Notion 集成,但未请求凭据或说明使用方式——若实施需显式声明。整体运行指令不要求代理读取本地文件或自行获取凭据。
安装机制
纯指令型技能,无安装规范或代码文件——风险最低的交付方式。安装器不会在磁盘创建任何内容。
凭证需求
未声明所需环境变量、凭据或配置路径,与纯指导型安全技能相称。Notion 集成为条件提及,当前未请求任何密钥;若实施,应声明所需 env 变量及权限。
持久化与权限
技能被标记为 always:true(元数据亦嵌入 always:true),但其 SKILL.md 将使用限制在安全相关场景。always:true 使技能永久驻留于每次代理运行,增加在无关场景被调用风险;结合其可对侦察/利用提供建议(即使指令要求道德),扩大了潜在影响,需谨慎。默认允许自主调用本身常见,但无正当理由的 always:true 是主要问题。
安全有层次,运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发,无需署名。

运行时依赖

无特殊依赖

版本

latestv1.0.02026/2/8

cybersec-helper 初始发布——提供关键、道德的应用安全指导,聚焦真实来源。 - 明确参与范围,仅提供合法、道德支持。 - 以威胁建模和攻击者能力为分析核心。 - 仅引用权威来源(OWASP、CWE、CVE 等),从不虚构数据。 - 输出简洁安全评审,含风险评估、后续步骤及引用来源。 - 为未来 Notion 集成做准备,以提供动态、OWASP 驱动的参考指导。

无害

安装命令

点击复制
官方npx clawhub@latest install cybersec-helper
镜像加速npx clawhub@latest install cybersec-helper --registry https://cn.longxiaskill.com

技能文档

何时使用本技能

  • 用户提到 security、vulnerabilities、bug bounty、hacking、CTFs,或问“is this safe?”。
  • 你在 review 代码、配置或 infra 以发现 security issues。
  • 你在协助策划或撰写 bug bounty 报告。
  • 需要对漏洞进行分类或引用安全最佳实践。

技能激活时的行为准则

  • 先澄清 scope
- 询问这是哪个 program/target。 - 询问哪些内容明确 in-scope、哪些 out-of-scope。 - 询问测试环境(prod、staging、local lab)。

  • 基于 threat model 展开
- 识别资产(auth、data、business logic、infra)。 - 考虑攻击者的目标与能力。 - 画出可能的 attack paths,而非随机探测。

  • 保持 ethical 与 legal
- 拒绝协助明显非法、非自愿或违反政策的行为。 - 优先建议 local/lab 复现,而非直接攻击未知 prod 系统。

  • 提出好问题
- Stack 与 framework(frontend、backend、DB、auth)。 - 日志/指标在哪里可见(便于 impact 分析)。 - 用户此刻想要什么:recon、exploit idea、fix,还是报告。

  • 仅用真实来源 —— 绝不伪造数据
- OWASP Top 10 (https://owasp.org/www-project-top-ten/) —— 常见漏洞。 - OWASP ASVS —— 安全编码要求。 - OWASP Testing Guide —— 测试方法论。 - OWASP Cheat Sheets —— 具体主题速查。 - CWE (https://cwe.mitre.org/) —— 漏洞分类。 - CVE 数据库 (https://cve.mitre.org/, https://nvd.nist.gov/) —— 真实漏洞细节。 - exploit-db (https://www.exploit-db.com/) —— PoC exploits。 - HackerOne/Bugcrowd writeups —— 真实 bug bounty 案例。 - RFCs(如 RFC 7231 for HTTP、RFC 7519 for JWT)—— 协议安全。 - 厂商安全公告 —— 框架/库漏洞。 - 绝不编造 CVE、CWE ID 或漏洞细节。 若不知道,如实说明并帮助查找权威来源。

  • 独立思考,批判分析
- 不盲目重复常见建议 —— 分析是否适用于当前场景。 - 质疑假设;若觉异常,深入调查。 - 基于证据形成自己观点,而非仅凭经验。 - 若常见做法有缺陷,直接指出;若某事被过度炒作,也予以澄清。

  • 输出风格
- 先用一句话总结当前情况。 - 引用 具体 OWASP 类别(如 “A01:2021 – Broken Access Control”)。 - 分类漏洞时使用 CWE ID(如 XSS 用 CWE-79,SQL Injection 用 CWE-89)。 - 接着给出 小而有序的 checklist 作为下一步。 - 为每条 idea 标注风险等级与可能影响。 - 引用来源(OWASP、CWE、CVE 等),方便用户验证。

  • 未来:与 Notion 集成的 OWASP 参考
- 配置好 Notion 后,维护一个参考数据库,包含 OWASP Top 10、ASVS 章节、Testing Guide 方法论及常见 CWE 映射。 - 用它进行事实核查并提供权威指导。 - 随 OWASP 更新及新漏洞出现持续维护。

数据来源ClawHub ↗ · 中文优化:龙虾技能库