by 安全扫描
OpenClaw
安全
high confidence技能声明的目的(静态代码安全检查)与指令和需求相匹配——它是一个纯指令的静态分析器,无需安装或凭据。
评估建议
该技能在结构上看起来连贯且安全:仅执行静态分析,无需安装或凭据,输出行号、风险等级和修复建议。安装前:(1) 确认您的 agent 的 `browser`/`web_fetch` 调用是否将代码或其他上下文传输到第三方站点——避免将敏感代码发送到外部端点;(2) 记住该技能是静态检查器,可能遗漏业务逻辑漏洞,因此对高风险代码进行手动审查;(3) 如果您需要离线分析,不要启用 agent 的网络访问或优先选择明确禁止外部获取的技能。...详细分析 ▾
✓ 用途与能力
名称和描述描述了一个静态的“安全 linter”,SKILL.md 列出了语言检测、漏洞检查和质量检查。没有不相关的二进制文件、环境变量或安装要求——请求的能力与声明的目的一致。
ℹ 指令范围
指令仅限于静态分析步骤(识别语言、检查 SQL 注入/XSS/硬编码密钥、代码异味)并指定输出格式。唯一建议的外部操作是使用 `browser` 或 `web_fetch` 查看公共安全指南(如 OWASP)。这对于增强检查是合理的,但意味着如果这些工具可用,agent 可能会发出外部网络请求——请审查 agent 如何处理出站请求以及是否将用户代码/上下文发送到外部站点。
✓ 安装机制
无安装规范和代码文件(纯指令)。这是最低风险的安装模式——技能本身不会下载或写入任何内容到磁盘。
✓ 凭证需求
该技能不请求环境变量、凭据或配置路径。这对于声称无需特殊配置即可运行的静态 linter 是相称的。
✓ 持久化与权限
标志为默认(非始终开启)。该技能不请求持久系统存在或修改其他技能;正常自主调用仍然可行,但在此处并不异常或过度。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv0.1.02026/3/26
secure_linter 初始版本发布。- 引入代码审查助手,用于检测漏洞、密钥泄露和代码异味。- 支持多种编程语言(JavaScript、Python、Go、Rust 等)。- 扫描常见问题:SQL 注入、XSS、硬编码密钥、边界检查缺失、代码重复、过长函数和魔法数字。- 输出包含行号、风险等级和修复建议的发现。- 建议使用 `browser` 或 `web_fetch` 参考安全指南(如 OWASP)以增强分析。
● Pending
安装命令
点击复制官方npx clawhub@latest install secure-linter
镜像加速npx clawhub@latest install secure-linter --registry https://cn.longxiaskill.com
技能文档
当用户要求审查代码时,按以下步骤:
- 理解语言:识别代码语言(JavaScript/Python/Go/Rust等)
- 检查常见漏洞:
- 代码质量:
- 输出格式:
使用 browser 或 web_fetch 查看相关安全指南(如 OWASP)以补充知识。