by 安全扫描
OpenClaw
可疑
medium confidence该技能的指令对于安全扫描工具包是连贯的,但包元数据省略了所需的二进制文件和安装机制——一个未解释的不匹配,值得谨慎对待。
评估建议
此SKILL.md包含运行网络和Web应用扫描器的有用、明确命令,但包元数据未声明所需工具或提供安装方法。安装或启用前:(1)验证技能的来源和可信度(此处无主页或已知所有者信息);(2)确保从官方源安装所需工具(nmap、nuclei、sslscan、nikto、testssl.sh)并在受控环境中可用;(3)仅对获得书面授权的目标运行这些命令;(4)优先选择声明所需二进制文件或包含经过审查的安装步骤的技能,以确保了解将要执行的内容;(5)如果允许自动调用,请限制代理的网络和系统权限,以避免对未经授权的目标进行意外或恶意扫描。...详细分析 ▾
⚠ 用途与能力
SKILL.md 明确预期使用 nmap、nuclei、sslscan、nikto、testssl.sh 等工具,但技能元数据未列出所需二进制文件、安装规范或主要凭证。一个合法的安全扫描器技能通常会声明预期工具或提供安装路径;此处的省略是不一致的。
ℹ 指令范围
指令是针对端口、漏洞和SSL扫描的精确命令示例,包括一条道德注意事项。它们不请求无关文件或凭证,似乎也不会泄露数据,但假设代理可以运行可能具有侵入性的网络扫描命令——如果针对未经授权的目标运行,这些命令可能会被滥用。指南中未包括运行时检查(例如,验证授权),仅超出一条简短的道德项目。
ℹ 安装机制
这是仅指令的(无安装规范和代码)。这从任意下载中降低了风险,但也存在问题,因为 SKILL.md 依赖于外部CLI工具,并未提供获取或验证这些工具的指令。如果代理尝试自动满足缺失的工具,行为将是未定义的。
✓ 凭证需求
技能不请求环境变量、凭证或配置路径,这对于命令行扫描清单来说是合适的。没有要求未解释的秘密访问。
✓ 持久化与权限
技能不请求持久存在(始终:false),不修改系统或其他技能配置,也不尝试存储凭证。自动调用由平台默认允许,但此处未获得额外特权。
安装前注意事项
- 验证技能的来源和可信度(此处无主页或已知所有者信息);
- 确保从官方源安装所需工具(nmap、nuclei、sslscan、nikto、testssl.sh)并在受控环境中可用;
- 仅对获得书面授权的目标运行这些命令;
- 优先选择声明所需二进制文件或包含经过审查的安装步骤的技能,以确保了解将要执行的内容;
- 如果允许自动调用,请限制代理的网络和系统权限,以避免对未经授权的目标进行意外或恶意扫描。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/2/10
初始发布 - nmap、nuclei、SSL扫描
● 无害
安装命令 点击复制
官方npx clawhub@latest install security-scanner
镜像加速npx clawhub@latest install security-scanner --registry https://cn.clawhub-mirror.com
技能文档
简介
自动化安全扫描和漏洞检测,适用于Web应用、API和基础设施。用法
- 端口扫描:使用
nmap扫描目标端口
nmap <目标IP>
- 漏洞扫描:使用
nuclei检测常见Web漏洞
nuclei -t /path/to/templates <目标URL>
- SSL扫描:使用
testssl.sh检查SSL配置
testssl.sh <目标域名>
注意
- 授权:仅对获得书面授权的目标进行扫描
- 环境:确保所有工具从官方源安装并在受控环境中运行
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制