首页龙虾技能列表 › Security Scan — 安全扫描

Security Scan — 安全扫描

v1.0.0

为 OpenClaw 技能和其他小型代码文件夹提供安全审查工作流。在发布或安装技能前进行审计,检查危险代码模式、可能的硬编码凭据、风险文件权限或轻量级供应链问题。适用于快速静态审查和谨慎的通过/不通过建议,而非完整的恶意软件分析或沙箱取证。

0· 513·8 当前·9 累计
by @shadowloong (ShadowLoong)·MIT-0
下载技能包
License
MIT-0
最后更新
2026/3/11
安全扫描
VirusTotal
无害
查看报告
OpenClaw
安全
high confidence
这是一个小型、自包含的指令优先安全扫描器,其请求和行为与所述目的完全匹配。
评估建议
这似乎是一个合法的轻量级静态扫描器。在运行之前,请自行检查 scripts/scan.sh(代码很短且已包含),如果目标包含敏感数据,请在副本或受控检出的目标上运行扫描。请理解此工具是有意受限的:它会产生误报和漏报,不执行动态或网络分析。如果扫描发现潜在秘密或危险调用,请手动检查周围代码,轮换任何暴露的凭据,并对高风险发现升级到沙箱/动态分析或人工审查。...
详细分析 ▾
用途与能力
名称/描述与包含的资源相符:一个轻量级静态扫描工作流和一个小 shell 脚本,在目标目录中搜索危险调用、硬编码密钥模式和全局可写文件。它不请求无关凭据、二进制文件或配置路径。
指令范围
SKILL.md 将代理限制为针对用户指定目标运行捆绑脚本并手动分类结果。脚本仅读取提供目标路径下的文件并输出发现;它不联系外部端点、不在目标外写入、也不引用目标参数之外的环境变量。
安装机制
无安装规范 — 仅包含指令和一个小型 shell 脚本。不下载或放置任何内容到系统位置。风险低且与所述目的相称。
凭证需求
该技能未声明所需的环境变量或凭据。脚本包含用于检测一些常见 API 密钥格式的正则表达式(例如 Google API 密钥前缀、OpenAI sk-),这是密钥扫描器的预期行为。不请求无关密钥或广泛的凭据访问。
持久化与权限
always:false 且没有修改其他技能或全局代理设置的代码。该技能可由代理调用(正常默认);不请求永久存在或提升权限。
安全有层次,运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发,无需署名。

运行时依赖

无特殊依赖

版本

latestv1.0.02026/3/11

安全扫描技能的首次发布。 - 为 OpenClaw 技能和小型代码文件夹提供轻量级安全审查工作流。 - 使用 shell 脚本扫描危险代码模式、可能的硬编码密钥和全局可写文件。 - 生成简洁的风险摘要并推荐后续步骤。 - 专为快速静态审查和谨慎的通过/不通过建议而设计;不是深度恶意软件分析的替代品。 - 包含关于解读结果和做出实际安全决策的明确指导。

● 无害

安装命令 点击复制

官方npx clawhub@latest install security-scan
镜像加速npx clawhub@latest install security-scan --registry https://cn.clawhub-mirror.com

技能文档

在信任、发布或安装技能之前执行轻量级安全审查。

此技能的功能

使用此技能来:

  • 检查技能目录中明显的危险代码模式
  • 查找可能的硬编码凭据或令牌
  • 标记风险文件权限
  • 生成包含推荐后续步骤的简洁风险摘要

此技能有意保持保守和轻量级。将发现视为审查信号,而非妥协的证据。

此技能不做什么

不要声称捆绑资源中不存在的能力。此技能提供:

  • 真正的沙箱执行
  • 系统调用跟踪
  • 网络流量捕获
  • 从外部数据库解析依赖项 CVE
  • 自动批准或拒绝逻辑

如果需要更深入的逆向工程或威胁分析,请进行手动审查并使用更强的外部工具。

捆绑资源

scripts/scan.sh

运行包含的 shell 扫描器进行快速静态检查:

bash scripts/scan.sh /path/to/target

脚本当前检查:

  • 可疑函数名如 eval(exec(system(spawn(
  • 简单的硬编码密钥模式
  • 全局可写文件

因为脚本使用 grep 风格的启发式方法,预期会有误报和漏报。

推荐工作流

1. 确定审查范围

确认您正在审查的内容:

  • 目标目录
  • 它是技能、脚本包还是一般代码文件夹
  • 目标是发布审查、安装审查还是快速健全性检查

2. 运行快速扫描

从技能目录运行:

bash scripts/scan.sh /path/to/target

如果目标是当前目录:

bash scripts/scan.sh .

3. 手动审查发现

不要止步于原始匹配。检查周围代码并决定每个发现是:

  • 预期且合理
  • 可疑但可解释
  • 高风险且可能不可接受

特别关注:

  • 触及不受信任输入的 shell 执行
  • 出站网络访问
  • 凭据处理
  • 在工作目录外写入
  • 自我修改或持久化行为

4. 给出实际判定

使用简单的评分标准用通俗语言总结结果:

  • 低风险: 在此轻量级审查中未发现有意义的问题
  • 需要审查: 可疑模式或模糊发现需要在信任之前进行手动检查
  • 高风险: 明显的危险行为、可能的密钥或不正当的执行模式

5. 推荐后续操作

示例:

  • 按原样发布/安装
  • 仅在移除标记模式后发布/安装
  • 轮换暴露的凭据
  • 向作者请求源码澄清
  • 升级到更深入的手动或沙箱分析

报告模式

使用如下紧凑结构:

安全扫描摘要

  • 目标:<路径>
    • 

  • 结果:低风险 | 需要审查 | 高风险
    • 

  • 发现:
    • 
  
- <发现 1>
  - <发现 2>

  • 置信度:低 | 中 | 高
    • 

  • 推荐操作:<下一步>
    •

分类指导

通常高风险

  • 明显的凭据材料被提交到仓库
  • 隐藏或不正当的命令执行
  • 下载并运行远程内容的代码
  • 无明确原因写入敏感位置

通常中等风险

  • 使用输入处理不明确的 shell 执行
  • 过于宽泛的文件权限
  • 可疑的混淆或编码有效载荷
  • 难以快速验证的安装程序/更新逻辑

通常低风险

  • 文档或示例中的良性匹配
  • 以狭窄、可理解的方式使用 shell 命令的辅助脚本
  • 正则表达式扫描的误报

实际注意事项

  • 优先给出简短的、基于证据的判定,而不是戏剧性的声明。
  • 有用时引用匹配的行或文件路径。
  • 如果置信度低,明确说明。
  • 不要声称扫描是全面的。
  • 对于发布决策,当技能仍包含模板、TODO、占位符声明或未验证命令时,倾向于要求清理。
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制

免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制

了解定制服务