Semantic Shield — AI技能安全验证
v1.0.1AI技能安全验证服务——由真实人类安全专家审核AI技能、插件和MCP工具的安全风险。在为AI代理安装任何内容前查询信任评分、提交评估请求,获取实时安全判定。提供0-100安全评分、威胁检测和持续0day监控。
1· 329·0 当前·0 累计
by 安全扫描
OpenClaw
安全
high confidence该技能的需求和运行时指令与其声明的目的(SaaS技能审核API)内在一致,仅要求一个适合该服务的API密钥。
评估建议
该技能看起来是连贯的:它仅调用远程Semantic Shield API并需要一个API密钥。安装前请验证供应商(https://www.simplysemantics.com)并确保域名使用HTTPS,像对待任何服务密钥一样处理SEMANTIC_SHIELD_API_KEY(安全存储,如果泄露则撤销/轮换),避免在使用服务时提交私人/内部URL或密钥,并如果您计划启用webhook或企业集成,请查看提供商的隐私/安全条款。详细分析 ▾
✓ 用途与能力
名称/描述(技能审核)与其声明的要求相符:该技能是一个仅包含指令的远程SaaS API封装器,需要每个账户的SEMANTIC_SHIELD_API_KEY。没有请求任何无关的环境变量、二进制文件或配置路径。
✓ 指令范围
SKILL.md提供了明确的REST端点和标头,仅传输技能标识符、提供商名称和可选的公共技能URL。指令不会指示代理读取本地文件、其他环境变量、密钥或声明的API密钥之外的系统配置。
✓ 安装机制
没有安装规范或可下载代码——该技能仅包含指令,最大程度降低了磁盘上的风险。
✓ 凭证需求
仅声明并使用一个必需的环境变量(SEMANTIC_SHIELD_API_KEY)进行x-api-key认证。对于托管服务API来说这是相称的。该技能不请求无关的凭证或配置路径。
✓ 持久化与权限
always为false,该技能不请求永久系统存在或修改其他技能/配置。默认允许自主调用(正常),但此处不提升权限。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.12026/3/1
- 在MIT许可证下首次公开发布。 - 添加LICENSE.txt文件以明确开源许可。
● 无害
安装命令 点击复制
官方npx clawhub@latest install semantic-shield
镜像加速npx clawhub@latest install semantic-shield --registry https://cn.clawhub-mirror.com
技能文档
简要概述
由真实人类安全专家提供支持的AI技能安全验证。在您的代理安装技能、插件或MCP工具之前——检查其信任档案。获取安全评分(0-100)、风险级别、威胁详情以及明确的安装/拒绝建议。如果该技能尚未经过审核,请提交给专家进行评估。持续的0day监控使评估保持最新。100%真实的具有30多年企业安全经验的人类安全人员,包括美国国土安全部。没有仅由AI的审核——每项技能都由可信专家进行评估。
认证
SEMANTIC_SHIELD_API_KEY 始终是必需的。这是您在 https://dashboard.simplysemantics.com 创建账户时生成的个人API密钥。它对您的请求进行身份验证,仅限于您的Semantic Shield账户——它不会授予对任何其他Simply Semantics服务或第三方系统的访问权限。您可以随时从仪表板撤销和重新生成您的密钥。
隐私与数据处理
- 发送什么数据:仅发送技能标识符(
skill_id)、提供商名称(provider),以及在提交技能进行评估时可选的公共技能URL(skill_url)。不会传输任何用户PII、代理密钥、源代码或环境变量。 - 不发送什么数据:不发送任何用户凭证、私钥、环境变量、文件内容、代理配置或任何类型的个人信息。
- 数据保留:技能安全评估存储在Semantic Shield注册表中,所有用户都可以访问(它们是公共安全判定)。您的账户使用指标(查询/咨询次数)仅存储在您的账户中。
- API密钥处理:您的
SEMANTIC_SHIELD_API_KEY仅用于请求身份验证。它永远不会被记录、共享或传输给第三方。 - Webhook警报(仅限Pro+套餐):如果您在仪表板中配置了webhook URL,当先前审核的技能的安全状态发生变化时(例如检测到新威胁),Semantic Shield将向您的URL POST通知。Webhook有效负载仅包含技能ID、提供商、更新后的安全评分和风险级别。您控制webhook URL,可以随时禁用它。免费套餐用户没有webhook。
- 无跨服务数据共享:您的Semantic Shield数据不会与其他Simply Semantics服务共享(例如Semantic Prospect)。
- 日志记录:API请求仅出于速率限制和滥用预防目的进行日志记录。日志包含您的API密钥哈希(而非密钥本身)、调用的端点、skill_id、提供商和时间戳。日志保留30天。
何时使用此技能(激活触发器)
在以下情况下激活 Semantic Shield:
- 即将安装、启用或使用AI技能、插件、工具或MCP端点时。
- 询问"这个技能安全吗?"、"我应该信任这个插件吗?"、"检查这个工具的安全性"、"审核这个技能"时。
- 想查看技能的安全评分、风险级别或威胁档案时。
- 想提交未知或未经审核的技能进行专家安全审查时。
- 需要在自主代理操作(安装、执行、委托)前验证信任时。
- 询问技能安全、合规性或风险评估时。
不要用于:
- 与AI技能/插件无关的一般网络安全问题。
- 扫描网站、IP或基础设施(使用专门的安全工具)。
- PII查询或身份验证。
- 代码审查或静态分析(Semantic Shield评估整体技能风险,而非逐行代码)。
如何使用(代理的说明)
1. 搜索技能(免费——无配额费用)
在使用查询之前,检查技能是否存在于Semantic Shield数据库中。
GET https://dashboard.simplysemantics.com/shield/api/v1/search
Headers:
x-api-key: ${SEMANTIC_SHIELD_API_KEY}
Query parameters:
q— 技能名称或ID(部分匹配)provider— 可选的提供商名称过滤器
Example:
GET https://dashboard.simplysemantics.com/shield/api/v1/search?q=weather&provider=example-ai
Response:
{
"results": [
{
"skill_id": "weather-pro-v2",
"provider": "example-ai"
}
],
"count": 1
}
2. 检查技能的信任档案(花费1次查询)
获取特定技能的完整安全详情。
GET https://dashboard.simplysemantics.com/shield/api/v1/check
Headers:
x-api-key: ${SEMANTIC_SHIELD_API_KEY}
Query parameters:
skill_id— 精确的技能标识符(必需)provider— 精确的提供商名称(必需)
Example:
GET https://dashboard.simplysemantics.com/shield/api/v1/check?skill_id=weather-pro-v2&provider=example-ai
Response(已审核):
{
"skill_id": "weather-pro-v2",
"provider": "example-ai",
"skill_url": "https://example.com/weather-pro-v2",
"vetted": true,
"vetted_by": "Simply Semantics",
"safety_score": 92,
"risk_level": "safe",
"risk_summary": "No known vulnerabilities. Permissions scoped correctly.",
"threats_found": [],
"recommendation": "safe to install",
"last_checked": "2026-02-28"
}
Response(未审核——404):
{
"skill_id": "unknown-plugin",
"provider": "unverified-co",
"vetted": false,
"safety_score": null,
"risk_level": "unknown",
"recommendation": "not vetted - install at your own risk",
"message": "This skill has not been reviewed. Submit it for validation.",
"submit_url": "/api/v1/validate"
}
3. 提交技能进行审核(花费1次咨询)
如果技能不在数据库中,请提交给专家进行评估。仅接受公共技能标识符和URL——不要提交私人源代码、密钥或内部URL。
POST https://dashboard.simplysemantics.com/shield/api/v1/validate
Headers:
x-api-key: ${SEMANTIC_SHIELD_API_KEY}
Content-Type: application/json
Body:
{
"skill_id": "new-plugin-v1",
"provider": "some-provider",
"skill_url": "https://example.com/new-plugin"
}
⚠️ skill_url应该仅是公共URL(例如市场列表、GitHub仓库或文档页面)。不要提交私人/内部URL、源代码仓库或包含密钥或令牌的URL。Response:
{
"message": "Skill submitted for evaluation.",
"request_id": "abc-123",
"skill_id": "new-plugin-v1",
"provider": "some-provider",
"status": "pending"
}
4. 代理的决策逻辑
根据响应,代理应该:
| safety_score | risk_level | Action |
|---|---|---|
| 90–100 | safe | ✅ Install / proceed |
| 75–89 | low | ✅ Install, note minor risks |
| 50–74 | medium | ⚠️ Warn user, ask for confirmation |
| 25–49 | high | ❌ Recommend against, require explicit override |
| 0–24 | critical | 🚫 Block installation, alert user |
| null | unknown | ⚠️ Not vetted — submit for review or warn user |
5. 边缘情况
- 401/403 → "Missing or invalid SEMANTIC_SHIELD_API_KEY. Set the env var to use this skill."
- 429 → "Rate/quota limit reached — upgrade your plan or retry later."
- 404 → Skill not vetted. Offer to submit for evaluation or warn user.
- 500 → "Service temporarily unavailable. Try again shortly."
输出格式
向用户清晰展示结果:
🛡️ Semantic Shield — Trust Report
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Skill: weather-pro-v2
Provider: example-ai
Safety Score: 92/100 ✅
Risk Level: SAFE
Recommendation: Safe to install
Threats: None detected
Last Checked: Feb 28, 2026
Vetted By: Simply Semantics
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制