首页 / 技能 / CMIC Skill Scanner Win - 安全审计工具

📦 CMIC Skill Scanner Win - 安全审计工具

v0.6.1

Skill Scanner AI 代理技能的安全审计工具。在安装前扫描技能包,检测恶意软件、凭据窃取与可疑模式。防御性安全……

0· 14·0 当前·0 累计
cyzlmh 头像by @cyzlmh·MIT-0
AI模型访问安全加密CI/CDDevOps
下载技能包
License
MIT-0
最后更新
2026/4/21
0
安全扫描
VirusTotal
可疑
查看报告
OpenClaw
可疑
medium confidence
该技能的用途(扫描器)是合理的,但运行时指令要求下载并运行外部二进制文件(Gitee 和陌生的 clawhub.ai 主机),还包含将报告上传至外部端点的示例——这些风险过高,在安装或运行前应予以验证。
评估建议
该 skill 虽可作为扫描器使用,但运行前需留意以下风险点: 1) 优先获取源码或已审核包:索要扫描器源码或可复现构建,而非直接运行来源不明的预编译二进制。 2) 校验发布包:若必须用二进制,从仓库(非 SKILL.md)下载 SHA256SUMS 并验证签名;优先使用 GPG 签名版本。 3) 核对出处:SKILL.md 作者(cyzlmh)与 Gitee 仓库所有者(random_player)不一致,请发布者说明归属并提供可信主页。 4) 勿上传敏感数据:在可能含密钥、凭据的包中,勿使用 --upload-url 或企业上传功能,除非已认证并信任远端。 5) 沙箱运行:若运行所提供二进制,请在隔离环境(VM/容器)中执行并监控网络活动。 6) 要求更强的注册元数据:请发布者在注册条目中补充安装规范、校验和及签名发布。 若发布者能提供可验证源码、可复现构建,或在成熟发布平台提供签名制品,风险将降低,评估可转为“可信”。...
详细分析 ▾
用途与能力
名称和描述声称具备本地“skill scanner”,与 SKILL.md 用法示例(skillscan CLI)相符。然而,该 skill 未声明所需二进制文件,尽管它指示用户/代理获取并运行平台专属的 CLI 二进制文件;此遗漏降低了透明度。推荐的下载源(Gitee)对发布版本而言合理,但“捆绑版本”链接指向无关域名(clawhub.ai),且未作解释。
指令范围
SKILL.md 指示代理/用户下载并运行平台专属的二进制文件,并展示了一个企业示例,将扫描结果上传到外部 URL。扫描技能包必然会读取任意文件(包括包内的任何机密),文档还提供了明确的外部传输机制/选项(--upload-url)。说明未限制上传内容,也未要求验证(仅指向校验和文件),因此若被滥用,存在敏感数据外泄的现实通道。
安装机制
注册表中无安装规范;SKILL.md 依赖手动下载预编译二进制。Gitee 发布地址属于已知托管商(风险低于随机 IP),但仍提供任意原生代码。备选的 clawhub.ai “bundled” 地址来自陌生主机;若无校验值或来源信息即推荐,风险更高。因需解压并执行下载的压缩包,此安装模式风险较高。
凭证需求
该技能未声明任何必需的环境变量或凭据(良好)。然而,扫描器的操作涉及读取技能包(可能包含机密)。结合可选的上传功能,缺乏明确的访问控制或对远程上传的强制身份验证,是一个需在使用前评估的相称性问题。
持久化与权限
该技能不请求持久或提升权限,不为“always: true”,且根据提供的文件不修改其他技能或全局配置。它仅提供指令,因此不会在注册表元数据中安装持久组件。
安全有层次,运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发,无需署名。

运行时依赖

无特殊依赖

版本

latestv0.6.12026/4/21

摘要:更新文档,新增下载链接并优化使用说明。 - 更新 0.6.1 版下载地址与校验和。 - 补充详细用法说明及示例命令。 - 新增审计输出与发现结果说明章节。 - 提供企业集成与报告指导。 - 核心功能无变动,仅文档改进。

可疑

安装命令

点击复制
官方npx clawhub@latest install cmic-skill-scanner
镜像加速npx clawhub@latest install cmic-skill-scanner --registry https://cn.longxiaskill.com

技能文档

防御型安全工具 – 安装前审计 skill。

从 Gitee 下载

| 平台 | 地址 | |------|------| | macOS ARM64 | https://gitee.com/random_player/cmic-skill-scanner/releases/download/v0.6.1/skillscan-wrapper-darwin-arm64-v0.6.1.zip | | Linux x64 | https://gitee.com/random_player/cmic-skill-scanner/releases/download/v0.6.1/skillscan-wrapper-linux-amd64-v0.6.1.zip | | Linux ARM64 | https://gitee.com/random_player/cmic-skill-scanner/releases/download/v0.6.1/skillscan-wrapper-linux-arm64-v0.6.1.zip |

校验 checksum(见仓库,非本文档)

https://gitee.com/random_player/cmic-skill-scanner/raw/main/releases/v0.6.1/SHA256SUMS

捆绑版本(推荐)

  • macOS: https://clawhub.ai/cyzlmh/cmic-skill-scanner-darwin-arm64
  • Linux x64: https://clawhub.ai/cyzlmh/cmic-skill-scanner-linux-amd64
  • Linux ARM64: https://clawhub.ai/cyzlmh/cmic-skill-scanner-linux-arm64

用法

``bash # 审查单个 skill 包或目录 skillscan review /path/to/skill --format markdown

# 批量扫描并保存结果 skillscan review /path/to/skills --output-dir /tmp/skillscan-out

# 使用外部引擎(需已安装 skill-scanner CLI) skillscan review /path/to/skill --engine external --format markdown `

输出

  • 输入类型检测
  • 引擎执行状态
  • 按风险等级列出的安全发现
  • 修复建议

企业集成

`bash skillscan review /path/to/skills \ --output-dir /tmp/skillscan-out \ --upload-url https://scanner.example.com/api/report \ --instance-id prod-a1 ``

许可证

MIT-0(公共领域)

数据来源ClawHub ↗ · 中文优化:龙虾技能库