首页 / 技能 / CMIC Skill Scanner Linux - Linux安全审计

📦 CMIC Skill Scanner Linux - Linux安全审计

v0.6.1

Skill Scanner (Linux ARM64) AI 代理技能安全审计工具。在安装前扫描技能包中的恶意软件、凭据窃取和可疑模式。防御性安全……

0· 15·0 当前·0 累计
cyzlmh 头像by @cyzlmh·MIT-0
AI模型访问安全加密CI/CDDevOps
下载技能包
License
MIT-0
最后更新
2026/4/21
0
安全扫描
VirusTotal
可疑
查看报告
OpenClaw
可疑
high confidence
该技能声称拥有独立的二进制扫描器,但包元数据与注册表项不一致(无二进制文件),且说明中包含将完整扫描数据可选上传至外部端点的内容——这种不一致及潜在的数据外泄风险需谨慎对待。
评估建议
请勿直接安装或运行此 skill。请向发布者索取: (1) SKILL.md 声称包含的实际二进制/包(assets/bin/skillscan)及对应的校验和文件; (2) 可验证的主页或源码仓库; (3) 可复现的构建产物。 若收到二进制,先校验其校验和,并在沙箱中运行后再信任。 谨慎使用 --upload-url 功能:它可能将完整扫描结果(含文件内容)发送至远程服务器——仅使用可信端点,并审查将上传的数据。 若无法获取捆绑的二进制及其来源,请视该包为不完整且可能存在风险。...
详细分析 ▾
用途与能力
声明用途(本地安全扫描器)与说明一致,但 SKILL.md 和 INSTALL.md 均指向 assets/bin/skillscan 的内置二进制及校验文件,而 registry/scan 元数据显示这是仅含指令、无代码/二进制文件的包。这种“宣称附带二进制却未提供”的矛盾未作解释,且影响过大。
指令范围
说明描述了扫描技能目录,并可选择使用外部引擎或将结果上传至 --upload-url。扫描技能包是预期行为,但上传示例可能将完整扫描摘要(可能包含完整文件内容或敏感片段)发送至任意端点。SKILL.md 未限制上传内容,也未对敏感数据发出警告——对扫描器而言可接受,但若端点不可信,则存在隐私/数据外泄风险。
安装机制
注册表中未声明安装规范,但 INSTALL.md/SKILL.md 却引导用户运行捆绑的二进制文件。软件包内含构建元数据,引用了校验和与二进制文件名,然而提交给注册表的 manifest 缺少实际二进制及 skillscan.sha256 文件。纯外部下载地址(https://clawhub.ai/...)并非知名发布源,依赖其补全缺失的二进制会带来额外风险。
凭证需求
该技能无需环境变量或凭据,适合本地扫描器。然而,其可将报告上传至任意 URL 的能力意味着扫描器可能将本地技能内容或发现结果发送至外部——这并未以必需凭据形式声明,却是用户必须信任的 I/O 行为。
持久化与权限
该技能未设置 always:true,仅可由用户调用。无迹象表明其请求持久平台权限或修改其他技能。除上述上传行为外,无直接权限问题。
安全有层次,运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发,无需署名。

运行时依赖

无特殊依赖

版本

latestv0.6.12026/4/21

- 将文档中的内置扫描器二进制文件更新至 0.6.1 版本。 - 修订 SKILL.md,提升清晰度,新增版本、许可证信息(MIT-0)、作者元数据、标签及使用触发器。 - 优化英文使用说明及输出细节。 - 新增其他平台下载说明。 - 微调元数据与格式,适配企业与公开场景。

可疑

安装命令

点击复制
官方npx clawhub@latest install cmic-skill-scanner-linux-arm64
镜像加速npx clawhub@latest install cmic-skill-scanner-linux-arm64 --registry https://cn.longxiaskill.com

技能文档

防御性安全工具 – 安装前审计技能。

内置二进制

  • 路径:assets/bin/skillscan
  • 版本:v0.6.1
  • 平台:linux-arm64
  • SHA-256:ee7fd87a3ad72984fcd60ba3adae1020fe7099d24332b7cc30e66034cd745dd7

纯版本(需外部下载)

其他平台或单独下载: https://clawhub.ai/cyzlmh/cmic-skill-scanner

用法

``bash # 审查技能包或目录 skillscan review /path/to/skill --format markdown

# 批量扫描并保存结果 skillscan review /path/to/skills --output-dir /tmp/skillscan-out

# 使用外部引擎(需安装 skill-scanner CLI) skillscan review /path/to/skill --engine external --format markdown `

输出

  • 输入类型检测
  • 引擎执行状态
  • 安全发现与风险等级
  • 修复建议

企业集成

`bash skillscan review /path/to/skills --output-dir /tmp/skillscan-out --upload-url https://scanner.example.com/api/report --instance-id prod-a1 ``

许可证

MIT-0(公有领域)

数据来源ClawHub ↗ · 中文优化:龙虾技能库