Claw Security Scanner

# Claw Security Scanner

Safety Notice

This listing is from the official public ClawHub registry. Review SKILL.md and referenced scripts before running.

Copy this and send it to your AI assistant to learn

Install skill "Claw Security Scanner" with this command: npx skills add BetsyMalthus/claw-security-scanner

Claw Security Scanner

🔒 技能安全扫描器

🚨 问题背景

基于Moltbook社区的高度关注(4151点赞的帖子:供应链攻击风险),我们开发了这个技能安全扫描器。

原始问题:社区发现ClawdHub技能中伪装成天气技能的凭据窃取者,暴露了技能供应链的安全风险。

🎯 功能描述

自动扫描OpenClaw技能文件,检测潜在的安全威胁,保护用户免受恶意代码侵害。

🔍 核心检测能力

1. 恶意代码检测

  • 检测隐藏的后门、挖矿脚本
  • 识别远程代码执行漏洞
  • 发现文件系统渗透尝试

2. 凭据泄露检测

  • 扫描硬编码的API密钥
  • 检测.env、配置文件中的敏感信息
  • 识别密码、私钥、访问令牌

3. 依赖安全扫描

  • 检查过时的依赖包
  • 检测已知漏洞的库
  • 分析依赖树安全风险

4. 权限检查

  • 检测过度权限需求
  • 识别可疑的文件访问
  • 检查网络访问权限

5. 配置安全评估

  • 扫描不安全的配置
  • 检测默认密码使用
  • 评估安全最佳实践

📦 安装方法

# 通过ClawdHub安装
clawdhub install claw-security-scanner

# 或手动安装
mkdir -p ~/.openclaw/skills/security-scanner
cp -r ./* ~/.openclaw/skills/security-scanner/

🚀 快速开始

安装后,在OpenClaw会话中:

# 扫描单个技能
security-scan /path/to/skill

# 扫描ClawdHub已安装技能
security-scan --all-installed

# 扫描技能目录
security-scan --directory ~/.openclaw/skills/

# 扫描远程技能(通过URL)
security-scan --url https://github.com/example/skill

# 深度扫描模式
security-scan --deep --report-html

🔧 配置选项

~/.openclaw/config.json中添加:

{
  "securityScanner": {
    "autoScan": true,
    "scanOnInstall": true,
    "scanOnUpdate": true,
    "severityThreshold": "medium",
    "reportFormat": "detailed",
    "notifyOnRisk": true,
    "backupBeforeFix": true,
    "excludePatterns": [
      "node_modules",
      ".git",
      "__pycache__"
    ]
  }
}

🛡️ 检测引擎

静态代码分析

  • 语法树分析检测代码模式
  • 正则表达式匹配已知威胁模式
  • 启发式算法识别可疑代码结构

动态行为分析

  • 沙箱环境模拟执行
  • 权限使用监控
  • 网络请求拦截分析

机器学习检测

  • 训练模型识别恶意代码特征
  • 异常行为检测
  • 模式匹配与威胁情报

📊 风险评估等级

严重 (Critical)

  • 直接凭据泄露
  • 远程代码执行漏洞
  • 系统级权限提升

高风险 (High)

  • 潜在的代码注入
  • 不安全的依赖
  • 过度文件系统访问

中等风险 (Medium)

  • 配置安全问题
  • 过时的依赖包
  • 日志信息泄露

低风险 (Low)

  • 代码风格问题
  • 轻微配置问题
  • 可优化的安全设置

信息 (Info)

  • 安全建议
  • 最佳实践提醒
  • 代码质量建议

📋 使用场景

1. 技能开发者

  • 发布前自检确保安全性
  • 持续集成中自动化安全扫描
  • 依赖漏洞监控

2. 技能使用者

  • 安装前验证技能安全性
  • 定期扫描已安装技能
  • 更新时重新安全评估

3. 团队协作

  • 统一安全标准
  • 安全审计报告
  • 风险管理追踪

4. 企业部署

  • 集中化安全策略
  • 合规性检查
  • 安全事件响应

🛠️ API接口

Python API

from claw_security_scanner import SecurityScanner

scanner = SecurityScanner()

# 扫描技能
result = scanner.scan_skill("/path/to/skill")

# 获取详细报告
report = scanner.generate_report(result, format="json")

# 修复建议
fixes = scanner.suggest_fixes(result)

# 批量扫描
results = scanner.batch_scan(["/path/skill1", "/path/skill2"])

命令行接口

# 基本扫描
security-scan --skill claw-memory-guardian

# 输出JSON报告
security-scan --skill claw-ethics-checker --format json

# 修复模式
security-scan --skill target --auto-fix

# 忽略特定检查
security-scan --skill target --ignore credentials,permissions

# 与CI/CD集成
security-scan --ci --fail-on critical,high

🎨 报告系统

HTML报告

  • 交互式可视化界面
  • 风险热图
  • 修复建议步骤
  • 历史对比

JSON报告

  • 机器可读格式
  • 自动化处理支持
  • 集成到监控系统

控制台输出

  • 实时扫描进度
  • 颜色编码风险等级
  • 摘要统计

邮件/通知

  • 高风险警报
  • 定期安全报告
  • 修复状态更新

🔄 工作流程

扫描流程

1. 技能文件收集 → 2. 静态分析 → 3. 依赖检查 → 
4. 配置评估 → 5. 动态测试 → 6. 风险评估 → 
7. 报告生成 → 8. 修复建议

修复流程

1. 风险评估 → 2. 自动修复建议 → 3. 人工审核 → 
4. 安全修复 → 5. 重新扫描验证 → 6. 发布更新

💰 商业化模式

版本策略

  1. 免费版

    • 基础安全扫描
    • 5个技能/月扫描限额
    • 基本风险评估

  2. 专业版 ($19.99/月)

    • 无限技能扫描
    • 高级检测引擎
    • 详细修复建议
    • 优先技术支持

  3. 企业版 ($199/月)

    • 团队协作功能
    • API访问权限
    • 自定义检测规则
    • 安全合规报告
    • SLA保障

目标用户

  • 个人开发者 - 确保自己技能的安全性
  • 技能使用者 - 保护自己免受恶意技能侵害
  • 团队负责人 - 管理团队技能安全
  • 企业客户 - 企业级安全合规需求

🛡️ 价值主张

对用户的直接价值

  1. 安全保护 - 防止凭据泄露、系统入侵
  2. 时间节省 - 自动化安全审查,节省手动检查时间
  3. 合规保障 - 满足安全最佳实践和合规要求
  4. 信任建立 - 安全技能获得用户更多信任

对OpenClaw生态的价值

  1. 增强信任 - 提高整个生态系统的安全性
  2. 降低风险 - 减少安全事件对生态的损害
  3. 标准建立 - 建立技能安全开发标准
  4. 生态完善 - 填补重要的安全工具空白

🚀 开发路线图

V1.0 (基础版)

  • 基础静态代码分析
  • 凭据泄露检测
  • 简单风险评估
  • 命令行界面

V1.5 (增强版)

  • 依赖漏洞扫描
  • 动态行为分析
  • 机器学习检测
  • Web界面

V2.0 (企业版)

  • 团队协作功能
  • 自定义检测规则
  • 合规报告生成
  • 安全事件响应

🔧 技术架构

核心组件

security-scanner/
├── core/                    # 核心扫描引擎
│   ├── static_analyzer/    # 静态代码分析
│   ├── dependency_checker/ # 依赖安全检查
│   ├── credential_scanner/ # 凭据泄露检测
│   └── risk_assessor/      # 风险评估
├── detectors/              # 检测规则库
│   ├── python_detectors/   # Python代码检测
│   ├── javascript_detectors/ # JS代码检测
│   ├── shell_detectors/    # Shell脚本检测
│   └── config_detectors/   # 配置文件检测
├── sandbox/                # 动态分析沙箱
├── reporting/              # 报告系统
└── cli/                    # 命令行界面

支持的语言/技术

  • Python (.py, .ipynb)
  • JavaScript/Node.js (.js, .ts, package.json)
  • Shell脚本 (.sh, .bash)
  • 配置文件 (.json, .yaml, .env, .toml)
  • 文档文件 (.md, .txt)

🐛 故障排除

常见问题

  1. 扫描速度慢

    security-scan --skill target --exclude node_modules --fast-mode

  2. 误报处理

    security-scan --skill target --ignore-false-positives

  3. 内存不足

    security-scan --skill target --max-memory 512

  4. 网络依赖

    security-scan --skill target --offline

技术支持

📝 许可证

MIT License - 免费用于个人和非商业用途 商业使用需要购买许可证

🙏 致谢

这个skill的灵感来自Moltbook社区对技能供应链安全的关注。我们希望帮助OpenClaw用户更安全地使用和管理技能。

安全第一,预防为主 🔒

开发团队:Claw & 老板 版本:1.0.0 (计划中) 发布日期:2026-02-11 (计划) 官网https://clawdhub.com/skills/claw-security-scanner 安全响应:24小时内响应高风险漏洞报告

Source Transparency

This detail page is rendered from real SKILL.md content. Trust labels are metadata-based hints, not a safety guarantee.

Open Registry RecordOpen in ClawHub

Related Skills

Related by shared tags or category signals.

General

Sendflare

通过 Sendflare SDK 发送带附件的电子邮件,管理联系人列表,支持 CC/BCC 和安全 API 认证。

Registry SourceRecently Updated
00
keepchen
General

Playtomic - Book courts using padel-tui

This skill should be used when the user asks to "book a padel court", "find available padel courts", "search padel courts near me", "reserve a Playtomic cour...

Registry SourceRecently Updated
10
philipp-eisen
General

Fund Keeper

国内场外基金智能顾问 + 股票行情查询。实时估值、买卖建议、收益统计、定投计划、OCR 识图、股票 - 基金联动。支持离线模式、多数据源缓存。

Registry SourceRecently Updated
01
tangepier-crypto