by 安全扫描
OpenClaw
可疑
medium confidence该技能与远程安全智能服务一致,但需要代理将技能代码和可能的敏感数据发送到未验证的外部端点(arcself.com),没有数据处理保证,存在潜在风险。
评估建议
该技能委托远程服务(https://arcself.com)进行分析,但不提供数据处理保证。安装前,请(1)确认供应商和官方主页/隐私/安全政策;(2)先使用非敏感样本测试;(3)对于私有代码,优先选择本地解决方案;(4)询问数据存储、访问和保留政策;(5)监控和限制代理网络访问。若无法验证服务或处理敏感代码/凭据,请视为不安全。...详细分析 ▾
ℹ 用途与能力
名称/描述与列出的功能(技能安全检查、静态分析、意图分析)匹配。对于远程 MCP 服务,功能是合理的。但该包没有主页/源代码证明和未知所有者,这降低了对安全工具的信任。
⚠ 指令范围
SKILL.md 指导代理连接到 SSE 端点并使用工具,暗示发送技能 SKILL.md/源代码进行分析。指令不限制传输的数据(技能代码、元数据或其他上下文),因此安装此技能可能导致敏感代码或秘密被发送到主机外。
✓ 安装机制
仅指令的技能,没有安装规格或代码文件 — 包本身没有写入磁盘,降低了安装风险。
⚠ 凭证需求
技能不请求环境变量或凭据,这是预期的,但其运行时行为(远程分析)仍可能泄露敏感数据。由于 SKILL.md 中没有明确的数据使用/隐私政策,这为用户秘密和代码上下文创建了不明确且不成比例的风险。
✓ 持久化与权限
always 为 false,并且没有安装钩子。技能在清单中没有请求持久/系统权限。
安装前注意事项
- 确认供应商并查看官方主页或隐私/安全政策。
- 先使用非敏感样本测试,不要发送生产或包含秘密的技能源代码。
- 对于私有代码,优先选择可以本地运行的解决方案。
- 询问提交数据的存储、访问和保留政策。
- 监控和限制代理的网络访问。若无法验证服务或处理敏感代码/凭据,请视为不安全。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.2.12026/2/17
["添加了使用免费 LLM 的意图分析(analyze_skill_intent),用于检测语义和社会工程攻击。","扩展了审计覆盖范围:现在有 743+ 真实发现来自 361+ 技能审计和 145+ 深度扫描。","增加了数据库范围:73+ 已知危险技能,25 个危险模式规则,22 个攻击类别,31 个审计轮次。","增强了模式和攻击类别文档,包括供应链风险和反安全培训等新类型。","更新了威胁景观洞察,并包括了额外的审计轮次和关键发现。","改进了工具描述,并在“可用工具”下添加了新的意图分析工具。"]
● 无害
安装命令 点击复制
官方npx clawhub@latest install arc-security-mcp
镜像加速npx clawhub@latest install arc-security-mcp --registry https://cn.clawhub-mirror.com
技能文档
请参见下方翻译(保留原始 YAML frontmatter 不翻译)
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制