Openclaw Skill Vetter 1.0.0 — OpenClaw 技能审查工具 1.0.0

v1.0.0

在安装任何AI代理技能之前的安全审查协议。检测凭证盗窃、混淆代码、数据外泄的红旗。风险分类为LOW/MEDIUM/HIGH/EXTREME。生成结构化的审查报告。永远不要在运行此审查之前安装不受信任的技能。

0· 1.1k·0 当前·0 累计

by @yiyi-9·MIT-0

开发工具代码生成数据分析数据可视化 AI模型访问

下载技能包

License

MIT-0

License

MIT-0

可自由使用、修改和再分发，无需署名。

查看条款 ↗

运行时依赖

无特殊依赖

安装命令

点击复制

官方npx clawhub@latest install openclaw-skill-vetter-1-0-0

镜像加速npx clawhub@latest install openclaw-skill-vetter-1-0-0 --registry https://cn.longxiaskill.com 镜像可用

需要定制？告诉我你的需求 →

技能文档

Skill Vetter 🔒 AI代理技能的安全第一审查协议。安装技能前永远不要不经审查。解决的问题安装不受信任的技能是危险的：恶意代码可以窃取凭证技能可以将数据泄露到外部服务器混淆脚本可以运行任意命令类似名称的技能可以欺骗您安装假的技能本技能提供安装前系统的审查过程。何时使用在从ClawHub安装任何技能之前在从GitHub仓库运行技能时在评估其他代理共享的技能时任何时候您被要求安装未知代码审查协议步骤1：源检查回答这些问题：这个技能来自哪里？作者是否知名或值得信赖？它有多少下载/星级？它什么时候最后更新的？其他代理是否有评论？步骤2：代码审查（必需）阅读技能中的所有文件。检查这些红旗： 🚨 如果您看到以下内容，请立即拒绝： ──────────────────────────────────────── • curl/wget到未知URL • 将数据发送到外部服务器 • 请求凭证/令牌/API密钥 • 读取~/.ssh，~/.aws，~/.config没有明确原因 • 访问MEMORY.md，USER.md，SOUL.md，IDENTITY.md • 对任何内容使用base64解码 • 使用eval()或exec()与外部输入 • 修改系统文件以外的工作空间 • 安装未列出的包 • 网络调用到IP而不是域名 • 混淆代码（压缩，编码，缩小） • 请求提升/超级用户权限 • 访问浏览器cookie/会话 • 触摸凭证文件 ──────────────────────────────────────── 步骤3：权限范围评估：它需要读取哪些文件？它需要写入哪些文件？它运行哪些命令？它需要网络访问吗？到哪里？其范围是否最小化以实现其声明的目的？最小权限原则：技能应该只访问它绝对需要的内容。步骤4：风险分类风险级别示例行动 🟢 低基本笔记，天气，格式化基本审查，安装OK 🟡 中等文件操作，浏览器，API 需要完整的代码审查 🔴 高凭证，交易，系统需要用户批准 ⛔ 极端安全配置，根访问不要安装审查清单（复制并使用）

技能审查报告 — [技能名称] v[版本]

日期： [日期] 源： [URL] 审查者： [您的代理名称]

自动检查

[ ] 没有exec调用带有用户控制的输入
[ ] 没有对未知域的外部网络调用
[ ] 没有凭证收集模式
[ ] 没有文件系统访问以外的工作空间
[ ] 依赖项固定到特定版本
[ ] 没有混淆或缩小的代码

手动检查

[ ] 作者有发布历史（不是全新的帐户）
[ ] 下载量合理的年龄
[ ] README解释了技能实际上做什么
[ ] 没有“相信我”或紧迫的语言
[ ] 更改日志存在且有意义

结论

风险级别： 低/中等/高 推荐： 安装/安装时谨慎/不要安装 备注： [任何特定的问题] 审查报告模板审查后，生成此报告：技能审查报告 ══════════════════════════════════════ 技能：[名称] 源：[ClawHub / GitHub / 其他] 作者：[用户名] 版本：[版本] ────────────────────────────────────── 指标： • 下载/星级：[数量] • 最后更新：[日期] • 审查文件：[数量] ────────────────────────────────────── 红旗：[无/列出] 所需权限： • 文件：[列出或“无”] • 网络：[列出或“无”] • 命令：[列出或“无”] ────────────────────────────────────── 风险级别：[🟢 低/ 🟡 中等/ 🔴 高/ ⛔ 极端] 结论：[✅ 安全安装/ ⚠️ 安装时谨慎/ ❌ 不要安装] 备注：[任何观察] ══════════════════════════════════════ 快速审查命令对于GitHub托管的技能： # 检查仓库统计 curl -s "https://api.github.com/repos/OWNER/REPO" | \ jq '{stars: .stargazers_count, forks: .forks_count, updated: .updated_at}' # 列出技能文件 curl -s "https://api.github.com/repos/OWNER/REPO/contents/skills/SKILL_NAME" | \ jq '.[].name' # 获取和审查SKILL.md curl -s "https://raw.githubusercontent.com/OWNER/REPO/main/skills/SKILL_NAME/SKILL.md" 对于ClawHub技能： # 搜索和检查流行度 clawhub search "skill-name" # 安装到临时目录进行审查 mkdir -p /tmp/skill-vet clawhub install skill-name --dir /tmp/skill-vet cd /tmp/skill-vet && find . -type f -exec cat {} \; 源信任级别源信任级别行动官方ClawHub（已验证徽章）中等仍然推荐完整审查 ClawHub（未验证）低需要完整审查 GitHub（已知作者）中等需要完整审查 GitHub（未知作者）很低需要完整审查+额外审查随机URL/DM链接无除非用户坚持拒绝信任等级官方OpenClaw技能 → 较低审查（仍然审查）高星级仓库（1000+） → 适度审查已知作者 → 适度审查新/未知来源 → 最大审查需要的技能要求

License

运行时依赖

安装命令

技能文档

技能审查报告 — [技能名称] v[版本]

自动检查

手动检查

结论

相关技能推荐