Evez Skill Vetter — Evez 技能验证员

v1.0.0

在安装OpenClaw技能之前进行安全审查。用于评估第三方技能的安全性，检查权限范围，检测可疑模式，识别数据泄露风险或审计技能代码。涵盖静态分析、权限审计、依赖扫描和风险评分。

0· 0·0 当前·0 累计

by @evezart (Evez666)·MIT-0

开发工具代码生成数据分析数据可视化安全

下载技能包

License

MIT-0

License

MIT-0

可自由使用、修改和再分发，无需署名。

查看条款 ↗

运行时依赖

无特殊依赖

安装命令

点击复制

官方npx clawhub@latest install evez-skill-vetter

镜像加速npx clawhub@latest install evez-skill-vetter --registry https://cn.longxiaskill.com镜像同步中

需要定制？告诉我你的需求 →

技能文档

技能审查员（Skill Vetter）在安装第三方技能之前进行审查。尽早捕捉安全风险。快速开始 python3 scripts/vet.py --skill /path/to/skill python3 scripts/vet.py --slug some-skill # 审查ClawHub技能检查内容权限范围 — 是否请求exec、network或文件访问？可疑模式 — eval()、exec()、subprocess、fetch到未知主机、编码字符串数据泄露 — 发送数据到外部端点、日志记录秘密依赖风险 — 已知漏洞包、过多依赖代码质量 — 最小化/混淆代码、缺少SKILL.md、过大文件密钥暴露 — 源代码中硬编码的API密钥、令牌、密码风险评分每个检查都会产生一个风险评分（0-100）： 0-20： ✅ 安全 — 可以自由安装 21-50： ⚠️ 警告 — 安装前查看发现的内容 51-75： 🚨 风险 — 有显著的安全问题 76-100： ❌ 危险 — 不要安装输出技能：some-skill 风险：35/100（警告）发现： ⚠️ 在scripts/run.sh:3中使用subprocess.call() ⚠️ 在scripts/pull.py:12中从https://unknown-api.com获取数据 ✅ 未发现硬编码的秘密 ✅ SKILL.md存在且有效

数据来源：ClawHub ↗ · 中文优化：龙虾技能库