免费 AI IDE
OpenClaw Skills 技能安全审计(Skill Vetter)技能使用参考手册
2026-03-06 11:31 更新
概述
Skill Vetter 是用于 AI 代理技能安全审计的 OpenClaw 技能,是安装其他技能前的必装安全工具,能够在安装任何技能前扫描代码、检查权限申请、识别潜在恶意行为,帮助用户避免安装恶意或危险的技能,为用户的 AI 代理提供一层安全防护网。
该技能可以帮助用户在 OpenClaw 中对所有要安装的技能进行安全审计,适合所有使用 OpenClaw 的用户,尤其是新手用户,能够从根源上避免 AI"裸奔",让用户放心使用各种技能。
技能信息
- 名称:skill-vetter
- 描述:以安全为先的 AI 代理技能审计工具。在从 ClawdHub、GitHub 或其他来源安装任何技能前使用该工具。它会检查技能中的危险信号、权限范围和可疑模式。
- 版本:1.0.0
- 作者:spclaudehome
- 依赖:
- 需要网络访问权限(用于检查技能来源信息)
- 需要 jq 工具(用于快速审计命令中的 JSON 解析)
- 触发词:"技能安全审计"、"技能安装前检查"、"技能恶意代码扫描"、"技能权限审查"、"技能风险评估"
👤 作者:spclaudehome
🦞 官方地址:https://clawhub.ai/spclaudehome/skill-vetter
👉 Skills 下载地址:skill-vetter-1.0.0.zip
使用场景
在以下场景中使用该技能:
- 从 ClawdHub 安装任何技能之前
- 运行 GitHub 仓库中的技能之前
- 评估其他代理分享的技能时
- 被要求安装未知代码时
审计流程
步骤 1:来源检查
需要回答的问题:
- [ ] 这个技能来自哪里?
- [ ] 作者是否知名/有信誉?
- [ ] 它有多少下载量/星数?
- [ ] 最后更新时间是什么时候?
- [ ] 其他代理有没有相关评价?步骤 2:代码审查(必须执行)
阅读技能中的所有文件,检查以下危险信号:
🚨 如果发现以下内容,立即拒绝安装:
─────────────────────────────────────────
• 使用curl/wget访问未知URL
• 向外部服务器发送数据
• 请求凭证/令牌/API密钥
• 无明确理由读取~/.ssh、~/.aws、~/.config目录
• 访问MEMORY.md、USER.md、SOUL.md、IDENTITY.md文件
• 对任何内容使用base64解码
• 对外部输入使用eval()或exec()
• 修改工作区外的系统文件
• 未列出依赖就安装包
• 向IP地址而不是域名发起网络请求
• 混淆代码(压缩、编码、混淆处理)
• 请求提升/sudo权限
• 访问浏览器cookie/会话
• 接触凭证文件
─────────────────────────────────────────步骤 3:权限范围评估
评估以下内容:
- [ ] 它需要读取哪些文件?
- [ ] 它需要写入哪些文件?
- [ ] 它会运行哪些命令?
- [ ] 它需要网络访问权限吗?访问哪里?
- [ ] 权限范围是否与其声明的用途最小化?步骤 4:风险分类
| 风险等级 | 示例 | 操作 |
|---|---|---|
| 🟢 低风险 | 笔记、天气、格式化 | 基础审查后可安装 |
| 🟡 中等风险 | 文件操作、浏览器、API | 需要完整代码审查 |
| 🔴 高风险 | 凭证、交易、系统操作 | 需要人工批准 |
| ⛔ 极高风险 | 安全配置、root 权限 | 禁止安装 |
输出格式
审计完成后,生成以下报告:
技能审计报告
═══════════════════════════════════════
技能名称: [名称]
来源: [ClawdHub / GitHub / 其他]
作者: [用户名]
版本: [版本号]
───────────────────────────────────────
指标:
• 下载量/星数: [数量]
• 最后更新时间: [日期]
• 审查文件数: [数量]
───────────────────────────────────────
危险信号: [无 / 列出具体内容]
所需权限:
• 文件: [列表或"无"]
• 网络: [列表或"无"]
• 命令: [列表或"无"]
───────────────────────────────────────
风险等级: [🟢 低风险 / 🟡 中等风险 / 🔴 高风险 / ⛔ 极高风险]
审计结论: [✅ 可安全安装 / ⚠️ 谨慎安装 / ❌ 禁止安装]
备注: [任何观察到的情况]
═══════════════════════════════════════快速审计命令
对于 GitHub 托管的技能:
## 检查仓库统计信息
curl -s "https://api.github.com/repos/OWNER/REPO" | jq '{stars: .stargazers_count, forks: .forks_count, updated: .updated_at}'
## 列出技能文件
curl -s "https://api.github.com/repos/OWNER/REPO/contents/skills/SKILL_NAME" | jq '.[].name'
## 获取并审查SKILL.md文件
curl -s "https://raw.githubusercontent.com/OWNER/REPO/main/skills/SKILL_NAME/SKILL.md"信任层级
- 官方 OpenClaw 技能 → 较低审查(仍需审查)
- 高星仓库(1000 + 星) → 中等审查
- 知名作者 → 中等审查
- 新 / 未知来源 → 最高审查
- 请求凭证的技能 → 必须人工批准
注意事项
- 没有任何技能值得你牺牲安全
- 有疑问时,不要安装
- 高风险决策请咨询你的用户
- 记录你的审计内容,以便未来参考
谨慎是一项特性。 🔒🦀
元数据信息
该技能的元数据信息如下:
{
"ownerId": "kn71j6xbmpwfvx4c6y1ez8cd718081mg",
"slug": "skill-vetter",
"version": "1.0.0",
"publishedAt": 1769863429632
}以上内容是否对您有帮助:
更多建议: