📦 技能验证增强版（skill-vetter-plus）

SKILL.md — skill-vetter-plus 名称：skill-vetter-plus 描述：AI 代理技能的安全扫描器。对技能清单、捆绑脚本和提示内容执行静态分析，以便在安装或发布之前发现常见漏洞和反模式。 版本：1.0.0 作者：CertainLogic 许可：MIT 类别：security, scanner, audit 标签：security, vulnerability, scanner, static-analysis, skill-audit, prompt-injection 要求：Python 3.10+ 可选：semgrep（用于扩展规则覆盖） 安装：将 skill-vetter-plus/ 文件夹放入 OpenClaw 技能目录中并重启。 使用： CLI # 基本扫描 openclaw skill vetter-plus scan # 详细输出，包括修复提示 openclaw skill vetter-plus scan --verbose # JSON 输出，用于 CI 集成 openclaw skill vetter-plus scan --json # 扫描多个技能 openclaw skill vetter-plus scan --batch skill1/ skill2/ skill3/ # 使用扩展 semgrep 规则（如果已安装） openclaw skill vetter-plus scan --deep 作为库： from vetter import SkillScanner scanner = SkillScanner() report = scanner.scan("/path/to/skill") for finding in report.findings: print(f"[{finding.severity}] {finding.rule}: {finding.message}") 配置： 在技能目录中创建 vetter-config.yaml 以自定义规则： rules: secret_detection: true prompt_injection: true unsafe_shell: true network_exfiltration: true file_permissions: true severity_threshold: medium # 忽略低严重性发现 max_file_size_mb: 5 exclude_patterns: - ".min.js" - "node_modules/*" 输出格式： 发现包括： severity：critical / high / medium / low / info rule_id：触发检查的标识符 file：问题文件的相对路径 line：行号（如果适用） message：人类可读的描述 remediation：建议的修复（如果可用） 限制： 仅静态分析；无法检测运行时行为 规则覆盖是尽力而为的，而不是详尽的 可能对良性模式产生假阳性 扩展深度扫描需要单独的 semgrep 安装 更改日志： 1.0.0 初始版本 核心扫描器引擎，内置 25 个规则 CLI，具有详细和 JSON 输出模式 批量扫描支持