📦 Skill Safety Scanner — 技能安全扫描器

v1.0.0

扫描已安装的 ClawHub 技能，检测危险代码模式（凭证收集、shell注入、未授权网络调用、已知恶意签名），生成每个技能的 SAFE/WARN/DANGEROUS 评级和一键移除指令。

0· 32·0 当前·0 累计

by @infectit007·MIT-0

生产力工具

下载技能包

License

MIT-0

最后更新

2026/4/14

安全扫描

VirusTotal

无害

查看报告

OpenClaw

可疑

medium confidence

该技能作为本地技能审计器基本一致，但某些指令可能会意外泄露数据或授予持久性（调度/报告到内存），还有一些小的不一致性，在信任之前应该验证。

评估建议

这个纯指令技能与其声明的目的（运行本地 OpenClaw 扫描器并格式化结果）基本一致，但在使用前需要检查以下几点： - 确认 CLI 工具：确保 `openclaw` 和 `clawhub` 是您系统上正确的、预期的本地工具。SKILL.md 混用了这两个名称；验证 `clawhub uninstall` 可以安全地移除技能。 - 先手动运行扫描器：自己运行 `openclaw security audit --deep --json` 并检查原始 JSON，然后再使用此技能的任何自动化功能。 - 谨慎使用调度和内存功能：除非您知道"内存"存储在哪里且永远不会离开您的机器，否则避免使用将结果"报告到内存"的示例提示。扫描报告建议使用本地存储（文件）。 - 在运行删除命令前要仔细审查：提供的 `rm -rf` 具有破坏性，只有在手动验证证据后才能使用自动移除功能。 - 理解数据访问：该技能会读取每个已安装技能的源代码（包括嵌入的任何密钥）。这对于审计是必要的，但意味着扫描输出可能包含敏感值，需要相应处理。如果想要更高的保证：手动运行 OpenClaw 审计，自己检查 SKILL.md...

详细分析 ▾

ℹ 用途与能力

名称/描述与操作一致：运行本地 OpenClaw 审计并格式化结果。然而 SKILL.md 混用了工具名称（openclaw security audit 对比 clawhub uninstall）—— 这可能是良性的（两个 CLI 用于相关功能），但您应该确认这两个命令在您的系统上存在，并且是已安装技能的正确管理器。

⚠ 指令范围

指令告诉代理运行 `openclaw security audit --deep --json`，解析 JSON，读取 ~/.openclaw/workspace/skills 下的每个已安装技能，显示证据，并（可选）运行 `clawhub uninstall` + `rm -rf`。这些操作需要读取任意技能源代码。文档反复声称"零网络调用"和"无数据离开您的机器"，但调度示例将结果存储到"内存"（代理内存）—— 如果平台将内存同步到云服务，可能会泄露扫描输出。验证"内存"存储在哪里，以及 "openclaw cron add" 是否真正将提示持久化到外部。

✓ 安装机制

纯指令技能，没有安装规范和代码文件——安装风险低。它执行现有的本地 CLI；默认不下载或写入任何内容。

ℹ 凭证需求

没有声明或需要环境变量、凭证或配置路径。该技能确实指示读取已安装技能文件（在 ~/.openclaw/workspace/skills 下），这与审计目的相称，但意味着扫描器会检查技能代码中存在的任何密钥——这是预期的，但值得注意。

⚠ 持久化与权限

该技能本身并非始终启用。然而 SKILL.md 鼓励通过 `openclaw cron add` 创建 cron 作业，自动运行扫描并在示例中将结果写入"内存"。这创建了持久的计划运行和存储输出；如果您的代理平台将内存持久化或同步到外部服务，计划运行和存储的扫描报告可能会泄露敏感信息。此外，自动删除命令（rm -rf）如果误用会造成破坏——技能确实要求确认，但自动化工作流会增加风险。

安全有层次，运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发，无需署名。

查看条款 ↗

运行时依赖

无特殊依赖

版本

latestv1.0.02026/4/14

初始版本。使用 OpenClaw 内置扫描器扫描已安装的 ClawHub 技能是否存在危险模式。单个 SKILL.md 文件——完全透明的源代码。

● 无害

安装命令

点击复制

官方npx clawhub@latest install skill-safety-scanner

镜像加速npx clawhub@latest install skill-safety-scanner --registry https://cn.longxiaskill.com镜像同步中

需要定制？告诉我你的需求 →

技能文档

扫描您 OpenClaw 工作区中每个已安装的技能，检测危险代码模式。生成每个技能的 SAFE / WARN / DANGEROUS 评级，并提供确凿证据和移除指令。

为什么存在此技能： 约 20% 的 ClawHub 技能已被标记为包含恶意模式，包括凭证收集、shell 注入和 C2 回调。此技能在使用 OpenClaw 自己的内置扫描器（而非第三方）造成损害之前揭示这些问题。

隐私保证： 完全在您的机器上运行。零网络调用。零数据泄露。您可以阅读此技能的每一行——它是一个单独的 SKILL.md 文件。

工作原理

此技能使用 openclaw security audit --deep --json，该命令已经扫描所有已安装技能的危险模式。然后解析、格式化并解释每个技能的发现。没有新的扫描代码。没有依赖。只有 OpenClaw 自己值得信赖的扫描器，输出更清晰。

工作流程

1. 运行扫描器

openclaw security audit --deep --json

捕获完整的 JSON 输出。

2. 提取技能发现

从 JSON 中找到所有 id 以 skills. 开头的条目——这些是特定于技能的发现。需要查找的关键发现 ID：

发现 ID	含义
`skills.code_safety`	在技能代码中检测到危险模式
`skills.untrusted_exec`	技能执行 shell 命令
`skills.env_harvesting`	技能读取环境变量并发起网络调用
`skills.network_exfil`	技能向外部主机发送数据
`skills.permission_escalation`	技能请求提升权限

3. 为每个技能评级

为每个已安装的技能分配评级：

评级	标准
✅ SAFE	未发现危险模式
⚠️ WARN	Shell 执行或环境访问（非组合）—— 审查源代码
🔴 DANGEROUS	环境收集 + 网络发送组合，或已知恶意签名

4. 格式化报告

技能安全扫描 — YYYY-MM-DD HH:MM
扫描：X 个技能
安全：X 警告：X 危险：X
──────────────────────────────────────
🔴 DANGEROUS — [技能名称]
路径：~/.openclaw/workspace/skills/[技能名称]
问题：[env-harvesting] 读取 API 密钥并发送到外部主机
证据：[文件名]:[行号] — [代码片段]
操作：clawhub uninstall [技能名称]
rm -rf ~/.openclaw/workspace/skills/[技能名称]
⚠️ WARN — [技能名称]
路径：~/.openclaw/workspace/skills/[技能名称]
问题：[dangerous-exec] 通过 child_process 执行 shell 命令
证据：[文件名]:[行号]
操作：使用前审查源代码。如不需要请移除：clawhub uninstall [技能名称]
✅ SAFE — [技能名称]（无发现）
──────────────────────────────────────建议
[如有任何 DANGEROUS 技能]：立即移除—— 视为已入侵。
[如有任何 WARN 技能]：下次使用前审查上述路径的源代码。
[如全部 SAFE]：您的技能集是干净的。新安装后重新扫描。

5. 可选：自动移除危险技能

如果用户确认，执行 DANGEROUS 评级技能的移除：

# 对于每个名为 [技能名称] 的 DANGEROUS 技能：
clawhub uninstall [技能名称] 2>/dev/null
rm -rf ~/.openclaw/workspace/skills/[技能名称]

始终显示命令并在移除任何内容之前请求确认。

6. 重新扫描以确认

移除任何内容后：

openclaw security audit --deep

确认 skills.code_safety 发现已消失。

调度

要每次安装新技能后自动扫描，或按每日计划扫描：

openclaw cron add --name "skill-safety-scanner:daily" --cron "0 3   *" \
--prompt "Run the skill-safety-scanner skill and report findings to memory."

此技能不做什么

不向外部服务器发送任何数据
不经明确确认修改任何文件
不连接互联网
不访问凭证或 API 密钥
不安装任何东西
单个 SKILL.md 文件—— 在上面检查完整源代码

注意事项

每次安装新的 ClawHub 技能后运行此扫描
WARN 评级并不总是恶意的—— 许多合法技能使用 shell 执行（例如运行 git 或 npm 的工具）。审查源代码并做出您自己的判断。
DANGEROUS = 同一文件中的环境收集 + 网络发送。这种组合在被动技能中没有合法用例。
如果 OpenClaw 更新其扫描器签名，重新运行此技能以捕获新检测到的模式。

数据来源：ClawHub ↗ · 中文优化：龙虾技能库