名称: skillscanner
版本: 1.0.0
描述: Gen Digital 提供的 ClawHub 技能安全扫描器。通过扫描 API 查询技能安全性。
作者: Rex Shang
许可证: MIT
关键词: [安全, 审计, 扫描, 审查, 技能, 安全性, skill_scanner, 信任, 安全]
触发器: ["技能安全", "审查技能", "扫描技能", "这个技能安全吗", "skillscanner", "skill_scanner", "审计技能", "扫描技能", "安全技能", "可信技能", "信任技能"]
“信任,但需验证。”
SkillScanner 通过调用扫描 API 来检查 ClawHub 技能的安全性。您提供技能 URL,API 返回状态和严重性。仅当判定结果为 SAFE 时,方可继续使用。
执行查询,使用真实的技能 URL(格式:https://clawhub.ai/author/skill-name):
bash
curl --request POST --url "https://ai.gendigital.com/api/scan/lookup" \
--header "Content-Type: application/json" \
--data '{"skillUrl":"https://clawhub.ai/AUTHOR/SKILL_SLUG"}'
请将 AUTHOR 替换为实际的作者 ID,SKILL_SLUG 替换为 ClawHub URL 中的实际技能标识符。
解读响应:
status: "done" — 检查 severity 字段以获取判定结果。status: "analysis_pending" — 该技能正在等待人工审核。切勿将其视为安全,并告知用户该技能正在审核中。决定继续或建议谨慎:
severity 为 SAFE 时,方可继续。WARNING、DANGEROUS、MALICIOUS),请建议用户保持谨慎,在技能经过审查或确认安全前,不要推荐使用。# 示例:通过 ClawHub URL 扫描技能
curl --request POST --url "https://ai.gendigital.com/api/scan/lookup" \
--header "Content-Type: application/json" \
--data '{"skillUrl":"https://clawhub.ai/author/skill-name"}'
解析 JSON 响应:如上所述,使用 status 和 severity 字段。
status |
含义 | 操作 |
|---|---|---|
done |
扫描完成 | 使用 severity 进行判定(见下表)。 |
analysis_pending |
等待人工审核 | 告知技能尚未通过审核;不要将其视为 SAFE。 |
severity (当 status = done 时) |
建议 |
|---|---|
| SAFE | 可以继续使用。 |
| 任何其他值 | 建议保持谨慎;在审查前不要推荐使用。 |
技能可以运行代码并访问您的环境。潜在风险包括:
| 风险 | 影响 |
|---|---|
| 执行任意代码 | 导致系统完全被控制 |
| 访问您的文件系统 | 数据窃取、勒索软件 |
| 读取环境变量 | API 密钥被盗 |
| 通过 HTTP 外泄数据 | 隐私泄露 |
| 安装恶意依赖项 | 供应链攻击 |
SkillScanner 利用扫描 API,帮助您在使用技能前决定是否信任它。
analysis_pending 状态意味着人工审核尚未完成——应将其视为“未知”,而非安全。如有疑问,请结合沙箱环境、最小权限原则和人工审查一同使用。
相关链接:
* 代理信任中心