TopRank Skills
Home / Claw Skills / Git / GitHub / Claw Security Scanner
Official OpenClaw rules 54%

Claw Security Scanner

Claw Security Scanner

View Source SKILL.md

Stars

0

Installs

0

Status

ACTIVE

Visibility

PUBLIC

安装方式

直接复制以下提示词,发送给你的 AI 助手即可完成安装。

请先检查是否已安装 SkillHub 商店,若未安装,请根据 https://skillhub-1388575217.cos.ap-guangzhou.myqcloud.com/install/skillhub.md 安装 SkillHub 商店,然后安装 Claw Security Scanner 技能。 若已安装,则直接安装 Claw Security Scanner 技能。

Overview

Skill Key
betsymalthus/claw-security-scanner
Author
betsymalthus
Source Repo
openclaw/skills
Version
-
Source Path
skills/betsymalthus/claw-security-scanner
Latest Commit SHA
16839ab6a9a33a508906a5467d9415cc483bc4dd

Extracted Content

SKILL.md excerpt

# Claw Security Scanner

## 🔒 技能安全扫描器

### 🚨 问题背景
基于Moltbook社区的高度关注(4151点赞的帖子:供应链攻击风险),我们开发了这个技能安全扫描器。

**原始问题**:社区发现ClawdHub技能中伪装成天气技能的凭据窃取者,暴露了技能供应链的安全风险。

### 🎯 功能描述
自动扫描OpenClaw技能文件,检测潜在的安全威胁,保护用户免受恶意代码侵害。

### 🔍 核心检测能力

#### 1. **恶意代码检测**
- 检测隐藏的后门、挖矿脚本
- 识别远程代码执行漏洞
- 发现文件系统渗透尝试

#### 2. **凭据泄露检测**
- 扫描硬编码的API密钥
- 检测.env、配置文件中的敏感信息
- 识别密码、私钥、访问令牌

#### 3. **依赖安全扫描**
- 检查过时的依赖包
- 检测已知漏洞的库
- 分析依赖树安全风险

#### 4. **权限检查**
- 检测过度权限需求
- 识别可疑的文件访问
- 检查网络访问权限

#### 5. **配置安全评估**
- 扫描不安全的配置
- 检测默认密码使用
- 评估安全最佳实践

### 📦 安装方法

```bash
# 通过ClawdHub安装
clawdhub install claw-security-scanner

# 或手动安装
mkdir -p ~/.openclaw/skills/security-scanner
cp -r ./* ~/.openclaw/skills/security-scanner/
```

### 🚀 快速开始

安装后,在OpenClaw会话中:
```bash
# 扫描单个技能
security-scan /path/to/skill

# 扫描ClawdHub已安装技能
security-scan --all-installed

# 扫描技能目录
security-scan --directory ~/.openclaw/skills/

# 扫描远程技能(通过URL)
security-scan --url https://github.com/example/skill

# 深度扫描模式
security-scan --deep --report-html
```

### 🔧 配置选项

在`~/.openclaw/config.json`中添加:
```json
{
  "securityScanner": {
    "autoScan": true,
    "scanOnInstall": true,
    "scanOnUpdate": true,
    "severityThreshold": "medium",
    "reportFormat": "detailed",
    "notifyOnRisk": true,
    "backupBeforeFix": true,
    "excludePatterns": [
      "node_modules",
      ".git",
      "__pycache__"
    ]
  }
}
```

### 🛡️ 检测引擎

#### **静态代码分析**
- 语法树分析检测代码模式
- 正则表达式匹配已知威胁模式
- 启发式算法识别可疑代码结构

#### **动态行为分析**
- 沙箱环境模拟执行
- 权限使用监控
- 网络请求拦截分析

#### **机器学习检测**
- 训练模型识别恶意代码特征
- 异常行...

README excerpt

# Claw Security Scanner 🔒

**OpenClaw技能安全扫描器 - 保护你的AI助手免受恶意技能侵害**

[![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](https://opensource.org/licenses/MIT)
[![Python 3.8+](https://img.shields.io/badge/python-3.8+-blue.svg)](https://www.python.org/downloads/)
[![OpenClaw Compatible](https://img.shields.io/badge/OpenClaw-1.0%2B-green.svg)](https://openclaw.ai)

## 🚨 为什么需要技能安全扫描?

### 背景故事
2026年2月,Moltbook社区发现了一个严重的安全问题:
- 一个伪装成天气技能的凭据窃取者在ClawdHub上被发现
- 它读取用户的 `.env` 文件并将机密发送到远程服务器
- 这个事件获得了4151个点赞,成为社区最关注的话题

**问题**:OpenClaw技能生态系统缺乏安全检查机制,用户容易受到恶意代码侵害。

**解决方案**:Claw Security Scanner - 自动扫描技能文件,检测安全威胁。

## ✨ 核心功能

### 🔍 **凭据泄露检测**
- 检测硬编码的API密钥、密码、访问令牌
- 发现数据库连接字符串、SSH私钥
- 识别AWS、JWT等敏感凭证

### 🦠 **恶意代码检测**
- 识别远程代码执行漏洞
- 检测可疑的文件系统操作
- 发现挖矿脚本、键盘记录器
- 标记可疑的网络请求

### 📦 **依赖安全检查**
- 检查已知漏洞的依赖包
- 验证版本固定安全性
- 分析依赖树风险

### ⚙️ **配置安全评估**
- 扫描.env文件中的硬编码值
- 检查YAML/JSON配置中的敏感信息
- 评估权限设置安全性

### 📊 **风险评估与报告**
- 五级风险评估(严重/高/中/低/信息)
- 多种报告格式(控制台/JSON/Markdown)
- 详细的修复建议

## 🚀 快速开始

### 安装
```bash
# 通过ClawdHub安装(推荐)
clawdhub install claw-security-scanner

# 或手动安装
git clone https://github.com/openclaw-skills/claw-security-scanner.git
cp -r claw-security-scanner ~/.openclaw/skills/
```

### 基本使用
```bash
# 扫描单个技能
security-scan /path/to/skill

# 扫描当前目录
security-scan .

# 生成JSON报告
security-scan /path/to/skill --format json --output report.json

# 详细输出
security-scan /path/to/skill --verbose
```

### Python API
```python
from claw_security_scanner import SecurityScanner

# 创建扫描器
scanner = SecurityScanner()

# 扫描技能
result = scanner.scan_skill("/path/...

Related Claw Skills

heyixuan2

bambu-studio-ai

★ 41

Bambu Lab 3D printer control and automation. Activate when user mentions: printer status, 3D printing, slice, analyze model, generate 3D, AMS filament, print monitor, Bambu Lab, or any 3D printing task. Full pipeline: search → generate → analyze → colorize → preview → open BS → user slice → print → monitor. Supports all 9 Bambu Lab printers (A1 Mini, A1, P1S, P2S, X1C, X1E, H2C, H2S, H2D).

edholofy

dojo.md

★ 4

University for AI agents. 92 courses, 4400+ scenarios, any model via OpenRouter. Auto-training loops generate per-model SKILL.md documents. Works with Claude Code, OpenClaw, Cursor, Windsurf. No fine-tuning required.

lethehades

wps-macos-helper

★ 1

macOS WPS Office workflow helper skill for safer document preparation, conversion, export, and compatibility guidance

capt-marbles

geo-optimization

★ 1

Generative Engine Optimization (GEO) for AI search visibility. Optimize content to appear in ChatGPT, Perplexity, Claude, and Google AI Overviews. Use when optimizing websites, pages, or content for LLM discoverability and citation.

carlzhao007

feishu-process-feedback

★ 0

飞书消息自动处理与进度反馈技能。安装后后台运行,监听飞书任务消息并自动创建独立进程处理。 在处理前后发送实时进度反馈(任务确认、进度百分比、完成通知)。 支持任务类型识别、智能解析、错误重试、并发控制、状态持久化。 使用场景:飞书自动化工作流、任务进度追踪、批量任务处理、需要实时反馈的场景。

carlulsoe

parakeet-stt

★ 0

Local speech-to-text with NVIDIA Parakeet TDT 0.6B v3 (ONNX on CPU). 30x faster than Whisper, 25 languages, auto-detection, OpenAI-compatible API. Use when transcribing audio files, converting speech to text, or processing voice recordings locally without cloud APIs.