Skill Safety Scanner — 技能安全扫描器

Name: Skill Safety Scanner — 技能安全扫描器
Author: infectit007

infectit007

Skill Safety Scanner — 技能安全扫描器

v1.0.0

扫描已安装的 ClawHub 技能，检测危险代码模式（凭证收集、shell注入、未授权网络调用、已知恶意签名），生成每个技能的 SAFE/WARN/DANGEROUS 评级和一键移除指令。

0· 32·0 当前·0 累计

by @infectit007·MIT-0

生产力工具

下载技能包

License

MIT-0

最后更新

2026/4/14

安全扫描

VirusTotal

无害

查看报告

OpenClaw

可疑

medium confidence

该技能作为本地技能审计器基本一致，但某些指令可能会意外泄露数据或授予持久性（调度/报告到内存），还有一些小的不一致性，在信任之前应该验证。

评估建议

这个纯指令技能与其声明的目的（运行本地 OpenClaw 扫描器并格式化结果）基本一致，但在使用前需要检查以下几点： - 确认 CLI 工具：确保 `openclaw` 和 `clawhub` 是您系统上正确的、预期的本地工具。SKILL.md 混用了这两个名称；验证 `clawhub uninstall` 可以安全地移除技能。 - 先手动运行扫描器：自己运行 `openclaw security audit --deep --json` 并检查原始 JSON，然后再使用此技能的任何自动化功能。 - 谨慎使用调度和内存功能：除非您知道"内存"存储在哪里且永远不会离开您的机器，否则避免使用将结果"报告到内存"的示例提示。扫描报告建议使用本地存储（文件）。 - 在运行删除命令前要仔细审查：提供的 `rm -rf` 具有破坏性，只有在手动验证证据后才能使用自动移除功能。 - 理解数据访问：该技能会读取每个已安装技能的源代码（包括嵌入的任何密钥）。这对于审计是必要的，但意味着扫描输出可能包含敏感值，需要相应处理。如果想要更高的保证：手动运行 OpenClaw 审计，自己检查 SKILL.md...

详细分析 ▾

ℹ 用途与能力

名称/描述与操作一致：运行本地 OpenClaw 审计并格式化结果。然而 SKILL.md 混用了工具名称（openclaw security audit 对比 clawhub uninstall）—— 这可能是良性的（两个 CLI 用于相关功能），但您应该确认这两个命令在您的系统上存在，并且是已安装技能的正确管理器。

⚠ 指令范围

指令告诉代理运行 `openclaw security audit --deep --json`，解析 JSON，读取 ~/.openclaw/workspace/skills 下的每个已安装技能，显示证据，并（可选）运行 `clawhub uninstall` + `rm -rf`。这些操作需要读取任意技能源代码。文档反复声称"零网络调用"和"无数据离开您的机器"，但调度示例将结果存储到"内存"（代理内存）—— 如果平台将内存同步到云服务，可能会泄露扫描输出。验证"内存"存储在哪里，以及 "openclaw cron add" 是否真正将提示持久化到外部。

✓ 安装机制

纯指令技能，没有安装规范和代码文件——安装风险低。它执行现有的本地 CLI；默认不下载或写入任何内容。

ℹ 凭证需求

没有声明或需要环境变量、凭证或配置路径。该技能确实指示读取已安装技能文件（在 ~/.openclaw/workspace/skills 下），这与审计目的相称，但意味着扫描器会检查技能代码中存在的任何密钥——这是预期的，但值得注意。

⚠ 持久化与权限

该技能本身并非始终启用。然而 SKILL.md 鼓励通过 `openclaw cron add` 创建 cron 作业，自动运行扫描并在示例中将结果写入"内存"。这创建了持久的计划运行和存储输出；如果您的代理平台将内存持久化或同步到外部服务，计划运行和存储的扫描报告可能会泄露敏感信息。此外，自动删除命令（rm -rf）如果误用会造成破坏——技能确实要求确认，但自动化工作流会增加风险。

安全有层次，运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发，无需署名。

查看条款 ↗

运行时依赖

无特殊依赖

版本

latestv1.0.02026/4/14

初始版本。使用 OpenClaw 内置扫描器扫描已安装的 ClawHub 技能是否存在危险模式。单个 SKILL.md 文件——完全透明的源代码。

● 无害

安装命令点击复制

官方npx clawhub@latest install skill-safety-scanner

镜像加速npx clawhub@latest install skill-safety-scanner --registry https://cn.clawhub-mirror.com

技能文档

扫描您 OpenClaw 工作区中每个已安装的技能，检测危险代码模式。生成每个技能的 SAFE / WARN / DANGEROUS 评级，并提供确凿证据和移除指令。

为什么存在此技能： 约 20% 的 ClawHub 技能已被标记为包含恶意模式，包括凭证收集、shell 注入和 C2 回调。此技能在使用 OpenClaw 自己的内置扫描器（而非第三方）造成损害之前揭示这些问题。

隐私保证： 完全在您的机器上运行。零网络调用。零数据泄露。您可以阅读此技能的每一行——它是一个单独的 SKILL.md 文件。

工作原理

此技能使用 openclaw security audit --deep --json，该命令已经扫描所有已安装技能的危险模式。然后解析、格式化并解释每个技能的发现。没有新的扫描代码。没有依赖。只有 OpenClaw 自己值得信赖的扫描器，输出更清晰。

工作流程

1. 运行扫描器

openclaw security audit --deep --json

捕获完整的 JSON 输出。

2. 提取技能发现

从 JSON 中找到所有 id 以 skills. 开头的条目——这些是特定于技能的发现。需要查找的关键发现 ID：

发现 ID	含义
`skills.code_safety`	在技能代码中检测到危险模式
`skills.untrusted_exec`	技能执行 shell 命令
`skills.env_harvesting`	技能读取环境变量并发起网络调用
`skills.network_exfil`	技能向外部主机发送数据
`skills.permission_escalation`	技能请求提升权限

3. 为每个技能评级

为每个已安装的技能分配评级：

评级	标准
✅ SAFE	未发现危险模式
⚠️ WARN	Shell 执行或环境访问（非组合）—— 审查源代码
🔴 DANGEROUS	环境收集 + 网络发送组合，或已知恶意签名

4. 格式化报告

技能安全扫描 — YYYY-MM-DD HH:MM
扫描：X 个技能
安全：X 警告：X 危险：X
──────────────────────────────────────
🔴 DANGEROUS — [技能名称]
路径：~/.openclaw/workspace/skills/[技能名称]
问题：[env-harvesting] 读取 API 密钥并发送到外部主机
证据：[文件名]:[行号] — [代码片段]
操作：clawhub uninstall [技能名称]
rm -rf ~/.openclaw/workspace/skills/[技能名称]
⚠️ WARN — [技能名称]
路径：~/.openclaw/workspace/skills/[技能名称]
问题：[dangerous-exec] 通过 child_process 执行 shell 命令
证据：[文件名]:[行号]
操作：使用前审查源代码。如不需要请移除：clawhub uninstall [技能名称]
✅ SAFE — [技能名称]（无发现）
──────────────────────────────────────建议
[如有任何 DANGEROUS 技能]：立即移除—— 视为已入侵。
[如有任何 WARN 技能]：下次使用前审查上述路径的源代码。
[如全部 SAFE]：您的技能集是干净的。新安装后重新扫描。

5. 可选：自动移除危险技能

如果用户确认，执行 DANGEROUS 评级技能的移除：

# 对于每个名为 [技能名称] 的 DANGEROUS 技能：
clawhub uninstall [技能名称] 2>/dev/null
rm -rf ~/.openclaw/workspace/skills/[技能名称]

始终显示命令并在移除任何内容之前请求确认。

6. 重新扫描以确认

移除任何内容后：

openclaw security audit --deep

确认 skills.code_safety 发现已消失。

调度

要每次安装新技能后自动扫描，或按每日计划扫描：

openclaw cron add --name "skill-safety-scanner:daily" --cron "0 3   *" \
--prompt "Run the skill-safety-scanner skill and report findings to memory."

此技能不做什么

不向外部服务器发送任何数据
不经明确确认修改任何文件
不连接互联网
不访问凭证或 API 密钥
不安装任何东西
单个 SKILL.md 文件—— 在上面检查完整源代码

注意事项

每次安装新的 ClawHub 技能后运行此扫描
WARN 评级并不总是恶意的—— 许多合法技能使用 shell 执行（例如运行 git 或 npm 的工具）。审查源代码并做出您自己的判断。
DANGEROUS = 同一文件中的环境收集 + 网络发送。这种组合在被动技能中没有合法用例。
如果 OpenClaw 更新其扫描器签名，重新运行此技能以捕获新检测到的模式。

Scans every installed skill in your OpenClaw workspace for dangerous code patterns. Produces a per-skill SAFE / WARN / DANGEROUS rating with exact evidence and removal commands.

Why this exists: ~20% of ClawHub skills have been flagged for malicious patterns including credential harvesting, shell injection, and C2 callbacks. This skill surfaces those issues before they can cause damage — using OpenClaw's own built-in scanner, not a third party.

Privacy guarantee: Runs entirely on your machine. Zero network calls. Zero data exfiltration. You can read every line of this skill — it is a single SKILL.md file.

How it works

This skill uses openclaw security audit --deep --json which already scans all installed skills for dangerous patterns. It then parses, formats, and explains the findings per-skill.

No new scanning code. No dependencies. Just OpenClaw's own trusted scanner with better output.

Workflow

1. Run the scanner

openclaw security audit --deep --json

Capture the full JSON output.

2. Extract skill findings

From the JSON, find all entries where id starts with skills. — these are skill-specific findings.

Key finding IDs to look for:

Finding ID	Meaning
`skills.code_safety`	Dangerous patterns detected in skill code
`skills.untrusted_exec`	Skill executes shell commands
`skills.env_harvesting`	Skill reads env vars AND makes network calls
`skills.network_exfil`	Skill sends data to external hosts
`skills.permission_escalation`	Skill requests elevated permissions

3. Rate each skill

For each installed skill, assign a rating:

Rating	Criteria
✅ SAFE	No dangerous patterns found
⚠️ WARN	Shell exec OR env access (not combined) — review source
🔴 DANGEROUS	Env harvesting + network send combined, or known malicious signature

4. Format the report

SKILL SAFETY SCAN — YYYY-MM-DD HH:MM
Scanned: X skills   Safe: X   Warn: X   Dangerous: X
──────────────────────────────────────
🔴 DANGEROUS — [skill-name]
   Path: ~/.openclaw/workspace/skills/[skill-name]
   Issue: [env-harvesting] Reads API keys and sends to external host
   Evidence: [filename]:[line] — [code snippet]
   Action: clawhub uninstall [skill-name]
           rm -rf ~/.openclaw/workspace/skills/[skill-name]
⚠️  WARN — [skill-name]
   Path: ~/.openclaw/workspace/skills/[skill-name]
   Issue: [dangerous-exec] Executes shell commands via child_process
   Evidence: [filename]:[line]
   Action: Review source before use. Remove if not needed:
           clawhub uninstall [skill-name]
✅ SAFE — [skill-name]   (no findings)
──────────────────────────────────────RECOMMENDATION
[If any DANGEROUS skills]: Remove immediately — treat as compromised.
[If any WARN skills]: Review source at the path above before next use.
[If all SAFE]: Your skill set is clean. Re-scan after any new install.

5. Optional: Auto-remove dangerous skills

If the user confirms, execute removal for DANGEROUS-rated skills:

# For each DANGEROUS skill named [skill-name]:
clawhub uninstall [skill-name] 2>/dev/null
rm -rf ~/.openclaw/workspace/skills/[skill-name]

Always show the command and ask for confirmation before removing anything.

6. Re-scan to confirm

After any removals:

openclaw security audit --deep

Confirm the skills.code_safety finding is gone.

Scheduling

To scan automatically after every new skill install, or on a daily schedule:

openclaw cron add --name "skill-safety-scanner:daily" --cron "0 3   *" \
  --prompt "Run the skill-safety-scanner skill and report findings to memory."

What this skill does NOT do

Does not send any data to external servers
Does not modify any files without explicit confirmation
Does not connect to the internet
Does not access credentials or API keys
Does not install anything
Single SKILL.md file — inspect the full source above

Notes

Run this scan after every new ClawHub skill install
WARN ratings are not always malicious — many legitimate skills use shell exec (e.g., tools that run git or npm). Review the source and make your own judgment.
DANGEROUS = env harvesting + network send in the same file. This combination has no legitimate use case in a passive skill.
If OpenClaw updates its scanner signatures, re-run this skill to catch newly detected patterns.

数据来源：ClawHub ↗ · 中文优化：龙虾技能库

OpenClaw 技能定制 / 插件定制 / 私有工作流定制

免费技能或插件可能存在安全风险，如需更匹配、更安全的方案，建议联系付费定制

了解定制服务

License

运行时依赖

版本

安装命令 点击复制

技能文档

工作原理

工作流程

1. 运行扫描器

2. 提取技能发现

3. 为每个技能评级

4. 格式化报告

5. 可选：自动移除危险技能

6. 重新扫描以确认

调度

此技能不做什么

注意事项

How it works

Workflow

1. Run the scanner

2. Extract skill findings

3. Rate each skill

4. Format the report

5. Optional: Auto-remove dangerous skills

6. Re-scan to confirm

Scheduling

What this skill does NOT do

Notes

安装命令点击复制