Skill Security Vet - 技能安全審核系統
整合本地安全掃描 + VirusTotal 雲端威脅情報,自動審核已安裝技能的安全性。
功能
- 🔍 本地掃描 - 檢測危險函數和模式
- ☁️ VirusTotal 掃描 - 雲端 70+ 防毒引擎比對
- 📊 風險評級 - 高/中/低/資訊 四級分類
- 🔑 API Key 管理 - 安全儲存 VirusTotal API Key
掃描項目
🔴 高風險 (本地)
eval(),new Function()- 動態程式碼執行child_process.exec()- 系統命令執行process.exit()- 強制終止進程- 敏感路徑存取 (
/etc/passwd,~/.ssh/, etc.)
☁️ VirusTotal 檢測
- 70+ 防毒引擎掃描結果
- 惡意軟體家族分類
- 威脅評級分數
使用方式
首次設定 VirusTotal API Key
skill-security-vet config --api-key <YOUR_VT_API_KEY>
取得 VirusTotal API Key
- 前往 https://virustotal.com
- 註冊/登入帳號
- 進入 Profile → API Key
- 複製 API Key
掃描所有技能(含 VirusTotal)
skill-security-vet scan --vt
只做本地掃描
skill-security-vet scan
掃描特定技能
skill-security-vet scan github,slack --vt
只顯示高風險
skill-security-vet scan --severity=high --vt
輸出範例
🔍 技能安全審核系統 v2.0
📁 掃描目錄: ~/.opencode/skill
🎯 目標技能: 78 個
☁️ VirusTotal: 已啟用
──────────────────────────────────────────────────
✅ github - 安全
☁️ VT: 0/70 防毒引擎標記 (安全)
⚠️ unknown-skill - 警告
🟡 [本地] 缺少 SKILL.md 描述文件
☁️ VT: 0/70 防毒引擎標記 (安全)
🔴 suspicious-skill - 危險
🔴 [本地] 發現 eval() 動態程式碼執行
☁️ VT: 45/70 防毒引擎標記 ⚠️ 惡意!
──────────────────────────────────────────────────
📊 審核報告摘要
總計: 78 個技能
✅ 安全: 75 個
⚠️ 警告: 2 個
🔴 危險: 1 個
☁️ VirusTotal 掃描: 78 個
✅ 雲端安全: 77 個
⚠️ 雲端可疑: 0 個
🔴 雲端惡意: 1 個
安全建議
| 等級 | 說明 | 建議 |
|---|---|---|
| 🔴 雙重危險 | 本地+VT 都危險 | 立即移除 |
| 🔴 本地危險 | 本地掃描發現問題 | 建議移除 |
| ⚠️ 雲端可疑 | VT 標記為可疑 | 需要審核 |
| ✅ 安全 | 全部通過 | 正常使用 |
注意事項
- VirusTotal 公開 API 限制:每分鐘 4 次請求
- 免費 API Key 足夠日常使用
- 建議定期執行安全掃描
- 發現高風險請立即審核原始碼