Skills 安全安装工具

在安装任何 Skill 前自动执行三层安全检查，包括 Skill-Vetter 代码审查、ClawHub 评分检查 和 ThreatBook 沙箱扫描。

快速开始

1. 配置 API Key

bash

获取微步在线 API Key: https://s.threatbook.com

echo THREATBOOKAPIKEY=yourapikey_here >> ~/.openclaw/.env

2. 使用安全安装

bash

替代 clawhub install，自动执行完整检查

node ~/.openclaw/workspace/skills/skill-safe-install/scripts/safe-install.mjs skill-name

或添加别名

alias clawhub-safe=node ~/.openclaw/workspace/skills/skill-safe-install/scripts/safe-install.mjs clawhub-safe skill-name

安全检查流程

┌─────────────────────────────────────────────────────────┐
│ Skills 安全安装流程 │
├─────────────────────────────────────────────────────────┤
│ │
│ 1️⃣ Skill-Vetter 代码审查 │
│ ├─ 检查红旗（恶意代码模式） │
│ ├─ 评估来源信任层级 │
│ ├─ 发现极端红旗 → ❌ 禁止安装 │
│ └─ 发现高风险 → ❓ 询问任务下达者 │
│ │
│ 2️⃣ ClawHub 评分检查 │
│ ├─ 评分 ≥ 3.5 → ✅ 通过，继续 │
│ └─ 评分 < 3.5 → ❓ 询问任务下达者 │
│ │
│ 3️⃣ ThreatBook 沙箱扫描 │
│ ├─ safe → ✅ 允许安装 │
│ ├─ suspicious → ❓ 询问任务下达者 │
│ ├─ malicious → ❌ 禁止安装 │
│ └─ API 失败 → ❓ 询问任务下达者 │
│ │
│ 4️⃣ 执行安装 │
│ │
└─────────────────────────────────────────────────────────┘

判定标准

第一层：Skill-Vetter 代码审查

检查内容:

• - 🔴 极端红旗（直接拒绝）: curl|bash, 访问 .ssh/, .aws/, eval(), 危险 rm 命令
• 🟡 高风险（需要确认）: exec(), 访问内存文件，sudo, 网络请求
• 🟢 低风险（允许）: 标准文件操作，日志记录

信任层级:

来源	审查级别
官方 OpenClaw	较低审查
已知作者

中等审查 |
| 未知来源 | 最高审查 |

第二层：ClawHub 评分检查

评分	判定	操作
≥ 3.5 分	✅ 高评分	进入沙箱扫描
< 3.5 分

⚠️ 低评分 | ❓ 必须询问任务下达者确认 |

第三层：ThreatBook 沙箱扫描

结果	含义	操作
safe	安全	✅ 允许安装
suspicious

可疑 | ❓ 必须询问任务下达者确认 | | malicious | 恶意 | ❌ 禁止安装 | | API 失败 | 无法访问 | ❓ 必须询问任务下达者是否继续 |

决策矩阵

Vetter	评分	沙箱	最终决策
✅ 通过	≥3.5	safe	✅ 直接安装
✅ 通过

≥3.5 | suspicious | ❓ 询问确认 | | ✅ 通过 | <3.5 | 任意 | ❓ 询问确认 | | ⚠️ 高风险 | 任意 | 任意 | ❓ 询问确认 | | 🚨 极端风险 | 任意 | 任意 | ❌ 禁止安装 | | 任意 | 任意 | malicious | ❌ 禁止安装 |

选项

选项	说明
--auto, --yes, -y	自动模式（需要确认时自动询问任务下达者）
--force

强制安装（跳过可疑警告） | | --no-vetter | 跳过 Vetter 代码审查（不推荐） | | --no-scan | 跳过沙箱扫描（不推荐） | | --dry-run | 仅检查，不实际安装 | | --timeout=<秒> | 沙箱扫描超时时间（默认 120 秒） | | --help | 显示帮助 |

退出码

退出码	含义
0	安装成功
1

检测到恶意代码，禁止安装 | | 2 | 文件可疑，等待确认 | | 3 | API 调用失败 | | 4 | 评分过低，等待确认 | | 5 | 用户取消安装 | | 6 | Vetter 发现极端红旗 |

环境变量

变量	必需	说明
THREATBOOKAPIKEY	✅	微步在线沙箱 API Key
CLAWHUB_TOKEN

❌ | ClawHub 认证 Token（如需要） |

红旗检测规则

🚨 极端风险（直接拒绝）

• - curl ... \| bash - 远程代码执行
• wget ... \| bash - 远程代码执行
• 访问 ~/.ssh/ - SSH 密钥窃取
• 访问 ~/.aws/ - AWS 凭证窃取
• rm -rf / - 危险删除命令
• 读取 /etc/passwd, /etc/shadow - 系统文件

🔴 高风险（需要确认）

• - eval() - 代码注入风险
• exec() - 命令执行
• 访问 MEMORY.md, USER.md, SOUL.md - 记忆文件
• sudo - 提权操作
• 发送数据到外部服务器

🟡 中风险（记录）

• - child_process - 子进程
• net.connect - 网络连接
• base64 decode - 解码操作
• localStorage - 存储访问

🟢 低风险（允许）

• - fs 模块 - 文件操作
• fetch HTTP 请求 - 网络请求
• mktemp, /tmp/ - 临时文件

输出示例

成功安装

🛡️ 开始 Skills 安全安装流程
📋 检查 Skill: tavily-search

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
第一步：Skill-Vetter 代码审查
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
👤 作者：openclaw
📅 更新时间：2026-02-20
📦 版本：1.0.0

📊 信任层级评估...
✅ 官方 OpenClaw Skill - 较低审查

📄 发现 2 个脚本文件
✅ 未发现红旗

风险等级：🟢 LOW

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
第二步：ClawHub 评分检查
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✅ 评分：4.2/5.0 (高评分，通过)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
第三步：ThreatBook 沙箱扫描
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
📤 上传文件到沙箱...
⏳ 等待分析结果...
✅ 分析完成

📊 扫描结果:
判定：SAFE
威胁等级：clean
可信度：98%

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
安全检查通过，开始安装...
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✅ tavily-search 安装完成！

发现极端红旗

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
第一步：Skill-Vetter 代码审查
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━