等級	說明	建議
🔴 雙重危險	本地+VT 都危險	立即移除
🔴 本地危險

Skill Security Vet - 技能安全审核系统

整合本地安全扫描 + VirusTotal 云端威胁情报，自动审核已安装技能的安全性。

功能

- 🔍 本地扫描 - 检测危险函数和模式
☁️ VirusTotal 扫描 - 云端 70+ 防毒引擎比对
📊 风险评级 - 高/中/低/信息四级分类
🔑 API Key 管理 - 安全存储 VirusTotal API Key

扫描项目

🔴 高风险 (本地)

- eval(), new Function() - 动态代码执行
child_process.exec() - 系统命令执行
process.exit() - 强制终止进程
敏感路径访问 (/etc/passwd, ~/.ssh/, etc.)

☁️ VirusTotal 检测

- 70+ 防毒引擎扫描结果
恶意软件家族分类
威胁评级分数

使用方式

首次设定 VirusTotal API Key

bash skill-security-vet config --api-key VTAPI_KEY>

取得 VirusTotal API Key

1. 前往 https://virustotal.com
注册/登录账号
进入 Profile → API Key
复制 API Key

扫描所有技能（含 VirusTotal）

bash skill-security-vet scan --vt

只做本地扫描

bash skill-security-vet scan

扫描特定技能

bash skill-security-vet scan github,slack --vt

只显示高风险

bash skill-security-vet scan --severity=high --vt

输出范例

🔍 技能安全审核系统 v2.0
📁 扫描目录: ~/.opencode/skill
🎯 目标技能: 78 个
☁️ VirusTotal: 已启用
──────────────────────────────────────────────────

✅ github - 安全
☁️ VT: 0/70 防毒引擎标记 (安全)

⚠️ unknown-skill - 警告
🟡 [本地] 缺少 SKILL.md 描述文件
☁️ VT: 0/70 防毒引擎标记 (安全)

🔴 suspicious-skill - 危险
🔴 [本地] 发现 eval() 动态代码执行
☁️ VT: 45/70 防毒引擎标记 ⚠️ 恶意!

──────────────────────────────────────────────────
📊 审核报告摘要
总计: 78 个技能
✅ 安全: 75 个
⚠️ 警告: 2 个
🔴 危险: 1 个
☁️ VirusTotal 扫描: 78 个
✅ 云端安全: 77 个
⚠️ 云端可疑: 0 个
🔴 云端恶意: 1 个

安全建议

等级	说明	建议
🔴 双重危险	本地+VT 都危险	立即移除
🔴 本地危险

注意事项

- VirusTotal 公开 API 限制：每分钟 4 次请求
免费 API Key 足够日常使用
建议定期执行安全扫描
发现高风险请立即审核源代码

skill-security-vet技能安全审核