首页 / 技能 / CMIC Skill Scanner - 安全审计工具

📦 CMIC Skill Scanner - 安全审计工具

v0.6.1

Skill Scanner (macOS ARM64) AI 代理技能安全审计工具。在安装前扫描技能包,检测恶意软件、凭据窃取与可疑模式。防御性安全……

0· 11·0 当前·0 累计
cyzlmh 头像by @cyzlmh·MIT-0
AI模型访问安全加密存储部署CI/CD
下载技能包
License
MIT-0
最后更新
2026/4/21
0
安全扫描
VirusTotal
Pending
查看报告
OpenClaw
可疑
high confidence
该技能声称提供自包含的 macOS 二进制文件并支持本地审计行为,但软件包中缺少该二进制文件,且包含的示例会将扫描结果上传至外部端点——这些不一致之处及潜在的数据外泄风险需谨慎对待。
评估建议
请勿直接安装或运行此 skill。继续前,请要求发布者: (1) 提供声称的二进制文件(assets/bin/skillscan)及包内附带的校验和文件; (2) 提供源代码或可验证的官方发布 URL,并说明来源(主页、repo、签名发布); (3) 解释并限制任何上传行为——在信任目标并明确上传数据(扫描元数据 vs 完整文件内容)前,切勿使用 --upload-url 选项。 若必须在本地评估,请从可信来源获取官方发布,验证 SHA-256 校验和,在隔离沙箱(或禁用网络)中运行二进制,并检查网络活动。若发布者无法提供二进制/源代码或无法合理解释外部上传,请将该包视为不可信。...
详细分析 ▾
用途与能力
SKILL.md 与 INSTALL.md 多次提到 assets/bin/skillscan(darwin-arm64)的捆绑二进制文件并给出 SHA-256,但包清单中既未包含 assets/bin/skillscan,也未包含所引用的校验文件。描述声称“自带二进制文件的自包含包”,而实际仅提供文档与构建元数据。此不一致表明该包名不副实,与其宣称目的相悖。
指令范围
运行时指令引导用户/代理运行本地二进制文件(./assets/bin/skillscan),并提供 --upload-url 标志的示例,该标志将“每个技能的嵌入式审查详情(包括完整扫描摘要和发现)”发送到任意端点。将完整扫描载荷(可能包含被扫描技能的内容)上传至外部服务器,对于本地审计工具而言属于带外操作,可能泄露敏感数据。此外,代理可能被指示运行并不存在的二进制文件,造成操作不一致。
安装机制
没有安装规范(仅提供说明),通常风险较低,但文档描述了解压发布包并验证本地校验和文件(assets/build/skillscan.sha256),而该文件并未在提供的文件中存在。SKILL.md 还提供了一个外部下载链接(https://clawhub.ai/cyzlmh/cmic-skill-scanner)——依赖外部下载会增加风险,并与“自包含”声明不一致。
凭证需求
该 skill 不请求环境变量、凭据或配置路径(这是合适的)。然而,支持企业集成的示例允许指定任意 --upload-url 和 instance-id;该功能可能将潜在的敏感扫描结果传输至外部服务器。未声明网络端点或防护措施,意味着敏感数据外泄的风险既未得到合理解释,也未受限于该包。
持久化与权限
该技能未请求 always:true,提供的包文件中未声明安装脚本或持久性修改,也未请求提升的平台权限。默认允许自主调用,但此处未与其他权限提升结合使用。
安全有层次,运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发,无需署名。

运行时依赖

无特殊依赖

版本

latestv0.6.12026/4/21

- 将 darwin-arm64 平台的内置二进制更新至 0.6.1 版本。 - 优化并简化 SKILL.md 文档,使用说明、输出示例和集成示例更清晰。 - 许可证更新为 MIT-0,并新增作者、标签、触发词等元数据。 - 文档现提供纯下载/外部下载链接,并调整格式以提升可读性。

Pending

安装命令

点击复制
官方npx clawhub@latest install cmic-skill-scanner-darwin-arm64
镜像加速npx clawhub@latest install cmic-skill-scanner-darwin-arm64 --registry https://cn.longxiaskill.com

技能文档

防御性安全工具 – 安装前审计技能。

内置二进制

  • 路径:assets/bin/skillscan
  • 版本:v0.6.1
  • 平台:darwin-arm64
  • SHA-256:3d0e50040dbcb8e9ffa24433587796f61f3c94926ee7e8a87b3359b9e2ae1130

纯版本(需外部下载)

其他平台或单独下载: https://clawhub.ai/cyzlmh/cmic-skill-scanner

用法

``bash # 审查技能包或目录 skillscan review /path/to/skill --format markdown

# 批量扫描并保存结果 skillscan review /path/to/skills --output-dir /tmp/skillscan-out

# 使用外部引擎(需已安装 skill-scanner CLI) skillscan review /path/to/skill --engine external --format markdown `

输出

  • 输入类型检测
  • 引擎执行状态
  • 安全发现及风险等级
  • 修复建议

企业集成

`bash skillscan review /path/to/skills --output-dir /tmp/skillscan-out --upload-url https://scanner.example.com/api/report --instance-id prod-a1 ``

许可证

MIT-0(公有领域)

数据来源ClawHub ↗ · 中文优化:龙虾技能库