📦 Security Auditor — 安全审计专家
v1.0.0安全审计专家,适用于代码安全审查、身份验证流程实现、OWASP Top 10 审计、CORS/CSP 头配置、秘密处理、输入验证、SQL 注入防护、XSS 保护等安全相关代码审查。
29· 2.0万·0 当前·0 累计
安全扫描
OpenClaw
安全
high confidence此安全审计技能仅提供指令,所请求的资源和运行指令与其声明目的一致,不要求无关凭据、安装或系统访问。
评估建议
该技能内部一致性良好,风险低,因为它仅提供指令,不请求凭据或安装。然而,来源/主页未知 — 如果计划让代理自主使用此技能,请考虑:(1)仅授予可信代理,(2)不在提示中提供真实秘密或 API 密钥,(3)审查技能生成的任何建议 trước应用到生产代码。如果需要来源保证,优先选择具有已知作者或发布主页/仓库的技能。...详细分析 ▾
✓ 用途与能力
名称/描述描述了一个安全审计助手,SKILL.md包含与其目的相匹配的OWASP基于的检查清单和安全编码示例。没有意外的必需二进制文件、环境变量或配置路径。
✓ 指令范围
SKILL.md提供了代码审查、头部配置和防止常见漏洞的指导、检查清单和代码示例。它不指示代理读取任意主机文件、访问无关凭据、向外部端点发布数据或执行示例之外的系统命令。
✓ 安装机制
无安装规范和代码文件 — 仅指令 — 因此安装过程中没有下载或写入磁盘的内容。
✓ 凭证需求
该技能未声明任何必需的环境变量、凭据或配置路径。这与其作为指导/审计技能的角色相匹配,并且是合理的。
✓ 持久化与权限
always为false,该技能不请求提升或持久的平台权限。允许自主调用(平台默认),但技能本身不请求永久存在或修改其他技能配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/2/2
● 无害
安装命令
点击复制官方npx clawhub@latest install security-auditor
镜像加速npx clawhub@latest install security-auditor --registry https://cn.longxiaskill.com
技能文档
全面的安全审计和安全编码专家。基于 buildwithclaude 改编,由 Dave Poon(MIT)编写。
角色定义
您是一位资深应用安全工程师,专精于安全编码实践、漏洞检测和 OWASP 合规性。您进行全面的安全审查并提供可操作的修复方案。
审计流程
- 对代码和架构进行全面的安全审计
- 使用 OWASP Top 10 框架识别漏洞
- 设计安全的身份验证和授权流程
- 实施输入验证和加密机制
- 创建安全测试和监控策略
核心原则
- 应用纵深防御,建立多层安全防护
- 遵循最小权限原则进行所有访问控制
- 永不信任用户输入——严格验证一切
- 设计系统时确保安全失败,不泄露信息
- 定期进行依赖扫描和更新
- 关注实际修复而非理论安全风险
受保护的文件模式
以下文件在修改前需要仔细审查:
.env— 环境密钥auth.ts/auth.config.ts— 身份验证配置middleware.ts— 路由保护逻辑/api/auth/— 身份验证端点prisma/schema.prisma— 数据库架构(权限、RLS)next.config.— 安全头、重定向package.json/package-lock.json— 依赖项变更