首页 / 技能 / CMIC Skill Scanner Linux x64 - Linux x64安全审计

📦 CMIC Skill Scanner Linux x64 - Linux x64安全审计

v0.6.1

Skill Scanner (Linux x64) AI 代理技能安全审计工具。在安装前扫描技能包中的恶意软件、凭据窃取与可疑模式。防御性安全……

0· 12·0 当前·0 累计
cyzlmh 头像by @cyzlmh·MIT-0
AI模型访问安全加密CI/CDDevOps
下载技能包
License
MIT-0
最后更新
2026/4/21
0
安全扫描
VirusTotal
Pending
查看报告
OpenClaw
可疑
medium confidence
该 Skill 声称内含一个自包含的 Linux 二进制文件,但包中并未提供;它还指向外部下载与可选的报告上传——目的明确,但存在多项打包与数据外泄风险,使用前需澄清。
评估建议
该包之所以可疑,主要在于它声称包含一个 Linux 二进制文件,但交付给你的文件中缺失,且指向外部下载与可选上传端点。安装或运行前:1)询问发布者为何缺失二进制,索要官方发布地址(优先 GitHub releases 或其他可信托管)。2)若必须运行扫描器,请在隔离环境(VM/容器)中执行,并将下载的二进制校验和与可信源比对。3)在确认目标地址与上传数据内容前,勿启用或提供任何 upload-url 或凭据;企业上传可能泄露完整扫描内容(含 skill 包数据)。4)优先选择可验证主页或来源的包;无主页且所有者 ID 未知会降低信任度。若发布者无法合理解释缺失二进制及外部端点,视该包为不可信。...
详细分析 ▾
用途与能力
SKILL.md 和 INSTALL.md 声称在 assets/bin/skillscan 内置了一个带 SHA-256 的二进制,并描述了 CLI 用法;然而包清单里并未包含该二进制文件(只有 SKILL.md、INSTALL.md、agents/openai.yaml 和 assets/build/build-info.json)。这种“宣称能力”与“实际内容”的不一致(claimed capability vs actual contents)是自相矛盾的,可能是打包失误,也可能是诱导用户从外部 URL 获取二进制。
指令范围
说明的范围仅限于扫描 skill 包(符合预期)。但它们也记录了企业集成功能:将完整审查载荷上传至任意 upload-url(示例:https://scanner.example.com/api/report)。上传完整扫描结果(文档称包含“每个 skill 的嵌入式审查详情”)可能成为数据外泄通道,应视为高敏感数据。external-engine 选项及下载说明扩大了范围,因为它们会让代理/用户从本包之外获取并运行代码。
安装机制
没有正式的安装规范(仅提供说明),通常风险较低——但 SKILL.md 宣称内置二进制文件并不存在,并给出外部下载地址(https://clawhub.ai/cyzlmh/cmic-skill-scanner)。该外部主机并非知名官方发布源;引导用户从陌生 URL 下载/解压/运行二进制文件会提升风险。包内 build-info.json 虽附带校验和,但因本地无对应二进制,无法验证。
凭证需求
该技能未声明所需的环境变量、凭据或配置文件路径(适用于扫描器)。然而,文档中提到的企业上传和外部引擎桥接功能涉及网络端点,可能还涉及凭据(未声明)。若启用这些选项,可能需要令牌或允许向第三方传输数据;必须明确披露并说明其合理性。
持久化与权限
标志为默认值:always=false,user-invocable=true;允许模型调用(正常)。该技能未在提供的包内容中请求永久驻留或系统级配置更改。
安全有层次,运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发,无需署名。

运行时依赖

无特殊依赖

版本

latestv0.6.12026/4/21

- 更新至 0.6.1 版,修订 SKILL.md 内容及元数据。 - 新增详细元数据,包括作者、标签与触发词,便于发现与启用。 - 优化技能文档,新增用法示例与输出说明,提升清晰度。 - 许可证由 MIT 改为 MIT-0。 - 更新内置二进制文件的路径与版本引用。

Pending

安装命令

点击复制
官方npx clawhub@latest install cmic-skill-scanner-linux-amd64
镜像加速npx clawhub@latest install cmic-skill-scanner-linux-amd64 --registry https://cn.longxiaskill.com

技能文档

防御性安全工具 – 安装前审计 skill。

内置二进制

  • 路径:assets/bin/skillscan
  • 版本:v0.6.1
  • 平台:linux-amd64
  • SHA-256:864f9a0189268139878c06bce7a127687f9e491a070d7c7345d22932c899bcd8

纯净版(需外部下载)

其他平台或单独下载: https://clawhub.ai/cyzlmh/cmic-skill-scanner

用法

``bash # 审查单个 skill 包或目录 skillscan review /path/to/skill --format markdown

# 批量扫描并保存结果 skillscan review /path/to/skills --output-dir /tmp/skillscan-out

# 使用外部引擎(需已安装 skill-scanner CLI) skillscan review /path/to/skill --engine external --format markdown `

输出

  • 输入类型识别
  • 引擎执行状态
  • 安全发现及风险等级
  • 修复建议

企业集成

`bash skillscan review /path/to/skills --output-dir /tmp/skillscan-out --upload-url https://scanner.example.com/api/report --instance-id prod-a1 ``

许可证

MIT-0(公共领域)

数据来源ClawHub ↗ · 中文优化:龙虾技能库