← 返回 Skills 市场
42
总下载
0
收藏
0
当前安装
1
版本数
在 OpenClaw 中安装
/install dbskiter-db-security
功能描述
数据库安全审计,支持SQL注入检测、敏感数据扫描、权限审计、登录安全监控、审计日志分析、密码策略检查、配置安全审计。 使用场景: - 用户说"安全检查" -> 执行 audit - 用户说"检测注入" -> 执行 sql-injection - 用户说"扫描敏感数据" -> 执行 sensitive-data -...
使用说明 (SKILL.md)
数据库安全 Skill
何时使用
当用户提到以下关键词时,使用此skill:
| 用户说法 | 执行命令 | 说明 |
|---|---|---|
| "安全检查" | dbskiter --output-mode=ai --database=\x3Cname> security audit |
完整安全审计 |
| "有注入风险吗" | dbskiter --output-mode=ai --database=\x3Cname> security sql-injection "\x3CSQL>" |
SQL注入检测 |
| "有敏感数据吗" | dbskiter --output-mode=ai --database=\x3Cname> security sensitive-data |
敏感数据扫描 |
| "安全评分多少" | dbskiter --output-mode=ai --database=\x3Cname> security score |
安全评分 |
| "检查权限" | dbskiter --output-mode=ai --database=\x3Cname> security permissions |
权限审计 |
| "登录安全" | dbskiter --output-mode=ai --database=\x3Cname> security login-security |
登录安全监控 |
| "审计日志" | dbskiter --output-mode=ai --database=\x3Cname> security audit-log |
审计日志分析 |
| "高危操作" | dbskiter --output-mode=ai --database=\x3Cname> security high-risk |
高危操作检测 |
| "密码策略" | dbskiter --output-mode=ai --database=\x3Cname> security password-policy |
密码策略检查 |
| "弱密码" | dbskiter --output-mode=ai --database=\x3Cname> security weak-passwords |
弱密码检查 |
| "配置安全" | dbskiter --output-mode=ai --database=\x3Cname> security config |
配置安全审计 |
核心命令(11个)
1. 完整安全审计
dbskiter --output-mode=ai --database=\x3C数据库名> security audit
输出:安全评分 + 所有风险项 + 修复建议
2. SQL注入检测
dbskiter --output-mode=ai --database=\x3C数据库名> security sql-injection "SELECT * FROM users WHERE id = %s" --params='{"id": "1 OR 1=1"}'
输出:风险评分、注入类型、修复建议
3. 敏感数据扫描
dbskiter --output-mode=ai --database=\x3C数据库名> security sensitive-data
默认行为:扫描所有表,识别身份证、手机号、邮箱等
可选参数:
--tables=users,orders:只扫描指定表--sample-size=100:每表采样100行(默认100)
4. 安全评分
dbskiter --output-mode=ai --database=\x3C数据库名> security score
输出:总体评分、各维度得分、扣分项
5. 权限审计
dbskiter --output-mode=ai --database=\x3C数据库名> security permissions
输出:用户权限列表、过度授权警告
6. 登录安全监控
dbskiter --output-mode=ai --database=\x3C数据库名> security login-security --hours=24
输出:登录失败统计、异常登录IP、暴力破解检测
可选参数:
--hours=24:检查最近多少小时(默认24)
7. 审计日志分析
dbskiter --output-mode=ai --database=\x3C数据库名> security audit-log --hours=24 --users=admin,root
输出:用户操作记录、DDL变更、权限变更
可选参数:
--hours=24:分析最近多少小时(默认24)--users=admin,root:指定用户(逗号分隔)
8. 高危操作检测
dbskiter --output-mode=ai --database=\x3C数据库名> security high-risk --hours=24
输出:DROP/DELETE/TRUNCATE等高危操作记录
可选参数:
--hours=24:检查最近多少小时(默认24)
9. 密码策略检查
dbskiter --output-mode=ai --database=\x3C数据库名> security password-policy
输出:当前密码策略、合规性检查、改进建议
10. 弱密码检查
dbskiter --output-mode=ai --database=\x3C数据库名> security weak-passwords
输出:弱密码用户列表、空密码用户、风险等级
11. 配置安全审计
dbskiter --output-mode=ai --database=\x3C数据库名> security config
输出:配置安全问题、推荐值、风险等级
AI决策流程
场景1:用户说"做安全检查"
步骤1:执行 dbskiter --output-mode=ai --database=\x3Cname> security audit
步骤2:解读AI返回的结构化数据(raw_metrics/rule_flags/context/reference_values/ai_hints)
步骤3:按严重程度列出需要修复的问题
步骤4:提供修复命令或建议
场景2:用户说"这个SQL有注入风险吗"
步骤1:执行 dbskiter --output-mode=ai --database=\x3Cname> security sql-injection "\x3CSQL>" --params='...'
步骤2:解读AI返回的rule_flags和raw_metrics中的风险信息
步骤3:如果风险评分>70,详细说明风险点
步骤4:提供安全的写法(参数化查询)
场景3:用户说"有敏感数据暴露吗"
步骤1:执行 dbskiter --output-mode=ai --database=\x3Cname> security sensitive-data
步骤2:解读AI返回的raw_metrics中的敏感字段列表
步骤3:列出发现的敏感字段
步骤4:建议加密或脱敏方案
输出解读
安全审计输出
{
"summary": "安全评分72分,发现5个风险项",
"score": 72,
"level": "C",
"risk_count": 5,
"risks": [
{
"severity": "CRITICAL",
"category": "sensitive_data",
"message": "users.phone包含手机号,未加密",
"suggestion": "对手机号字段加密存储"
},
{
"severity": "HIGH",
"category": "permissions",
"message": "用户app_user拥有SUPER权限",
"suggestion": "移除SUPER权限,只授予必要权限"
}
]
}
AI应该关注:
score:安全评分(\x3C80需要关注)level:安全等级(A/B/C/D)risks中severity为"CRITICAL"或"HIGH"的项
SQL注入检测输出
{
"summary": "风险评分85分,检测到永真条件注入",
"risk_score": 85,
"level": "HIGH",
"injection_types": ["tautology"],
"suggestions": [
"使用参数化查询替代字符串拼接",
"对用户输入进行严格验证"
]
}
AI应该关注:
risk_score:风险评分(>70为高风险)injection_types:注入类型suggestions:修复建议
安全使用建议
在安装或运行前请确认以下几点:
1) 验证 dbskiter 二进制的来源与版本:此 SKILL 假定系统上存在 `dbskiter`,但元数据未声明其来源。仅在能核实二进制来自受信任渠道(官方发行页、公司内部制品库)时才运行。
2) 明确凭据提供方式:不要将生产数据库凭据直接粘贴给不明技能。要求技能作者在文档中明确支持哪种认证方式(显式参数、连接字符串、受限只读账户或临时凭证),并优先使用最小权限或只读测试库。
3) 检查数据去向与隐私:询问或审查 dbskiter 是否会把扫描结果发送到外部服务(网络上报、云 API)。特别注意 `--output-mode=ai` 是否会把原始敏感字段传到第三方 AI 服务。
4) 在受控环境中先测试:先在隔离的、含有非真实数据的测试数据库上运行,确认输出行为和所需权限,再决定是否对生产数据库使用。
5) 要求作者/发布者补充元数据:请求补充需要的二进制声明、安装来源、需要的环境变量或配置路径,以及对凭据和网络通信的明确说明。若作者无法提供可信来源或明确说明,建议不要在敏感环境中启用此技能。
功能分析
Type: OpenClaw Skill
Name: dbskiter-db-security
Version: 1.0.0
The skill bundle provides a legitimate interface for a database security auditing tool named 'dbskiter'. The SKILL.md file defines commands for SQL injection detection, sensitive data scanning, and permission auditing, all of which are consistent with the stated purpose of database security. There is no evidence of malicious intent, data exfiltration, or prompt injection.
能力评估
Purpose & Capability
技能名和说明描述的是数据库安全审计,SKILL.md 的命令调用了名为 `dbskiter` 的 CLI,这与技能目的相符;但元数据没有声明需要该二进制或其来源,也未说明如何提供数据库连接信息(主机/端口/用户/密码/连接字符串)。要求运行外部 CLI 且未声明是一个不一致点。
Instruction Scope
运行步骤直接教代理执行 `dbskiter --output-mode=ai --database=<name> ...` 等命令,隐含会访问目标数据库并读取敏感数据或审计日志,但 SKILL.md 没有说明凭据来源、是否会把扫描结果发到远端、以及在何处存储中间数据。特别是 `--output-mode=ai` 提示与 AI 的交互格式,但不清楚是否会把敏感内容传出,这使得执行范围与数据流不明确。
Install Mechanism
这是一个 instruction-only 的 skill(没有 install spec、没有代码文件),因此不会在安装时写入或下载二进制,安装面向风险较低。但运行时仍依赖系统中已有的 `dbskiter` 可执行文件。
Credentials
元数据声明没有需要的环境变量或配置路径,但命令显然需要数据库连接凭据(或配置文件)。这种不声明凭据需求的情况会导致代理采用不安全的默认行为(例如在环境变量、已登录会话、或系统配置文件中查找凭据),或需要用户在运行时以不安全方式提供密码。缺乏对凭据输入方式的说明是不成比例且令人担忧的。
Persistence & Privilege
技能没有设置 always:true,也没有安装脚本或写入磁盘的指示;默认的自治调用权限保持不变。技能本身不要求在系统中长期驻留或修改其他技能配置。
如何使用
- 确保已安装 OpenClaw(本地或 Docker 部署)
- 在对话框中输入安装命令:
/install dbskiter-db-security - 安装完成后,直接呼叫该 Skill 的名称或使用
/dbskiter-db-security触发 - 根据 Skill 的参数说明提供必要输入,即可获得结构化输出
版本历史
v1.0.0
Initial release of db-security skill.
- Provides database security auditing, including SQL injection detection, sensitive data scan, permission audit, login security monitoring, audit log analysis, password policy check, and configuration security audit.
- Maps common user intents (e.g., “安全检查”, “检测注入”) to specific dbskiter commands.
- Offers 11 core security commands with clear usage examples and output interpretation guidance.
- Supports command customization with optional parameters (e.g., scan tables, analysis period).
- Includes detailed recommendations for interpreting results and remediation based on risk severity.
元数据
常见问题
数据库安全审计 是什么?
数据库安全审计,支持SQL注入检测、敏感数据扫描、权限审计、登录安全监控、审计日志分析、密码策略检查、配置安全审计。 使用场景: - 用户说"安全检查" -> 执行 audit - 用户说"检测注入" -> 执行 sql-injection - 用户说"扫描敏感数据" -> 执行 sensitive-data -... 它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件,目前累计下载 42 次。
如何安装 数据库安全审计?
在 OpenClaw 或 Claude Code 对话框中运行命令「/install dbskiter-db-security」即可一键安装,无需额外配置。
数据库安全审计 是免费的吗?
是的,数据库安全审计 完全免费,采用 MIT-0 许可证,可自由下载、安装和使用。
数据库安全审计 支持哪些平台?
数据库安全审计 跨平台运行,可在任意部署了 OpenClaw / Claude Code 的环境中使用(cross-platform)。
谁开发了 数据库安全审计?
由 magicCzc(@magicczc)开发并维护,当前版本 v1.0.0。
推荐 Skills