by 安全扫描
OpenClaw
安全
medium confidenceOmniAudit 的需求和运行指令与远程安全扫描服务保持一致,但会将代码传输到外部服务器并可能要求付款——仅在信任该远程服务的情况下继续使用。
评估建议
此技能适用于远程代码扫描仪:会将代码或仓库 ZIP 传输到 https://omniaudit.fly.dev,并可能要求按次付费(详见 SKILL.md)。使用前请注意:(1) 验证您信任 OmniAudit 服务及其首页、隐私和支付处理;(2) 不要发送密钥、私钥或敏感生产代码,除非您接受它会离开您的环境;(3) 要求代理在任何付款或传输前获得明确同意(SKILL.md 要求这一点,但您应该在实践中验证);(4) 如果您不希望外部暴露代码,请改用本地/离线扫描仪。由于这只是指令,没有代码可审计,我们无法检查服务器端行为——这就是为什么置信度是中等而不是高。...详细分析 ▾
✓ 用途与能力
名称/描述(远程安全扫描器)与 SKILL.md 相符:它描述了通过 https://omniaudit.fly.dev 进行的免费 GitHub URL 扫描和付费代码片段或深度扫描。没有请求无关的凭证、二进制文件或安装步骤,这与网络扫描器的比例是适当的。
ℹ 指令范围
指令明确要求在发送本地文件或发起付款之前获得用户同意,并描述了使用的端点(/audit、/audit/deep)。这是适当的,但该技能必然会将代码/ZIP 发送到外部服务——这是任何远程扫描器固有的隐私/数据泄露风险,应该向用户指出。SKILL.md 对同意有合理的规定,但如果没有实现代码,就无法验证运行时是否遵守。
✓ 安装机制
没有安装规范和代码文件(仅指令)。这最大限度地降低了本地写入风险;该技能仅依赖网络请求。
✓ 凭证需求
该技能不请求环境变量或凭证;付款被描述为使用 Base 上的 x402 协议,并且仅在获得明确用户同意后才需要。没有请求过度访问密钥。
✓ 持久化与权限
该技能不请求 always:true 或任何提升的持久性。它是可由用户调用的,并允许模型调用(默认),这是服务调用技能的预期行为。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.42026/3/24
添加了明确用户同意、支付透明度、隐私详情、Ed25519 公钥
● 可疑
安装命令 点击复制
官方npx clawhub@latest install omniaudit
镜像加速npx clawhub@latest install omniaudit --registry https://cn.clawhub-mirror.com
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制