← 返回 Skills 市场
ansengu11

龙虾安全卫士

作者 ansengu11 · GitHub ↗ · v1.2.3 · MIT-0
cross-platform ✓ 安全检测通过
508
总下载
1
收藏
7
当前安装
18
版本数
在 OpenClaw 中安装
/install openclaw-safe-guard
功能描述
提供对已安装 Skills 的静态安全扫描,检测权限风险、恶意代码和依赖风险并生成中文风险评估报告。
安全使用建议
这个技能看起来是为静态审计设计的,所需的文件与网络权限与它的目的相符,但请在安装/运行前注意: - 审查 scan.sh(包内已有脚本),确保您信任作者;脚本会读取 ~/.openclaw/skills,该目录可能包含其他技能的密钥或凭据。若不希望泄露这些数据,请不要在含敏感凭据的主机上运行。 - 尽量在隔离环境(容器/虚拟机)或非 root 账户中运行,并在运行前备份重要文件。 - 默认会访问 GitHub(api.github.com)并克隆公开仓库到 /tmp;这对在线扫描是必要但请注意磁盘写入。脚本会在退出时清理 /tmp,但请确认其行为符合您的风险策略。 - 注意 OPENCLAW_NONINTERACTIVE=true 会跳过确认提示,慎用该变量以避免意外读取。 - 扫描结果基于启发式规则(grep/简单模式匹配),可能有误报或漏报;请将自动扫描作为第一步,并结合人工代码审查和更深入工具(例如专用静态分析器)使用。 总体:功能一致且可解释,若您接受读取本地 skills 目录的风险并在隔离环境中运行,可考虑安装;若担心敏感数据暴露,先在隔离环境或测试机器上运行并手动审查脚本。
功能分析
Type: OpenClaw Skill Name: openclaw-safe-guard Version: 1.2.3 The bundle is a security auditing tool designed to perform static analysis on OpenClaw skills to detect potential risks. While it requires high-privilege access, including reading the `~/.openclaw/skills` directory (which may contain sensitive credentials) and network access to clone GitHub repositories, these actions are transparently documented and essential to its stated purpose. The core logic in `scan.sh` includes input sanitization, mandatory user confirmation prompts, and strictly performs local pattern matching (via `grep`) without exfiltrating the content of the files it analyzes. The documentation in `SKILL.md` and `skill.yaml` explicitly warns users about the risks of reading other skills' data.
能力评估
Purpose & Capability
技能旨在对已安装或 GitHub 上的 Skills 做静态审计。它声明并实现了读取 ~/.openclaw/skills、访问 GitHub API、临时克隆仓库到 /tmp 以及使用 curl/jq/git/grep/find 进行分析——这些都是静态扫描所需且合理的能力。没有请求不相关的云凭据或额外服务。
Instruction Scope
SKILL.md 与 scan.sh 明确说明会读取本地 Skills 目录并克隆第三方仓库到 /tmp,执行基于文本的模式搜索(grep/jq等)。脚本声称仅进行静态分析并不会执行被扫描代码,这与源码中看到的行为一致。不过静态扫描本身会读取可能包含敏感信息的文件(例如其他 Skill 中的密钥),脚本也会在非交互模式下跳过确认(依赖 OPENCLAW_NONINTERACTIVE),这些点已在说明中提示。
Install Mechanism
无安装脚本/远程二进制下载,仓内仅包含 scan.sh 与元数据。没有从不可信 URL 下载并执行代码的高风险安装步骤,风险属于最低类别(instruction-only + included script)。
Credentials
技能不要求任何外部凭据或秘密,仅声明需要访问 GitHub (api.github.com/github.com) 以及本地路径 ~/.openclaw/skills、~/.openclaw/workspace/skills 和 /tmp。读取这些本地路径会暴露潜在敏感信息,且这是实现静态审计所必需,因此属于必要但高敏感度权限;skill.yaml/README 已明确说明并建议在隔离环境运行。
Persistence & Privilege
技能未请求常驻(always)权限或修改其他技能/系统配置。默认允许模型调用(平台默认),但这与技能用途一致且未扩大权限边界。
如何使用
  1. 确保已安装 OpenClaw(本地或 Docker 部署)
  2. 在对话框中输入安装命令:/install openclaw-safe-guard
  3. 安装完成后,直接呼叫该 Skill 的名称或使用 /openclaw-safe-guard 触发
  4. 根据 Skill 的参数说明提供必要输入,即可获得结构化输出
版本历史
v1.2.3
No changes detected in this release. - Version updated to 1.2.3 with no file or documentation changes. - No new features, bug fixes, or updates introduced.
v1.2.2
**Changelog for openclaw-safe-guard v1.2.2** - Added clear author and repository attribution in the documentation. - Introduced "可信验证" section guiding users on verifying skill authenticity via source hash/GitHub. - Added new section detailing automatic and manual detection items, and clarified risk scoring criteria. - Updated and expanded documentation for enhanced transparency and practical usage tips. - No functional or behavioral changes to scanning or execution—this is a documentation improvement release.
v1.2.1
No code changes detected; documentation updated for version 1.2.1. - SKILL.md: Version incremented from v1.2.0 to v1.2.1. - No functional or file changes—documentation refresh only.
v1.2.0
openclaw-safe-guard v1.2.0 - 完全移除系统信息探测相关功能,增强隐私保护 - 触发短语中移除了“系统检测”“ai系统检测”“ai系统安全”等不相关或宽泛表达 - 其余说明、功能、权限、建议均与上一版本保持一致
v1.1.9
- Version bump from 1.1.8 to 1.1.9. - No code or documentation changes detected in this release.
v1.1.8
openclaw-safe-guard v1.1.8 - Version bump to 1.1.8 with no detected file changes. - No functionality, documentation, or content updates in this release.
v1.1.7
No file changes detected in this version. - Version number updated from 1.1.6 to 1.1.7 for metadata or documentation consistency. - No new features, bug fixes, or code/documentation updates were introduced.
v1.1.6
Version 1.1.6 brings additional security warnings and clarification. - 增加“🔒安全说明”部分,详细说明已修复的安全问题,已知风险,以及安全使用建议 - 新增相关环境变量的说明与用法表格 - 明确官方仓库(openclaw/*)仍会执行基础扫描,而非跳过 - 其余内容未变,继续支持中英文输出和原有安全功能
v1.1.4
openclaw-safe-guard v1.1.4 - 新增 manifest.json 文件 - SKILL.md 优化,说明支持扫描 OpenClaw 系统安全设置和“你想要安装的 Skills” - 输出格式新增风险分数说明,明确风险分数与风险评级对应关系 - 示例和描述内容更新,反映最新扫描能力和输出格式
v1.1.0
openclaw-safe-guard v1.1.0 - Added new configuration file: clawhub.json - Updated SKILL.md with the latest information and documentation - Modified skill.yaml for updated configuration and metadata
v1.0.9
openclaw-safe-guard 1.0.9 - 更新版本号和文档为 v1.0.9,反映最新状态 - 其他内容和安全说明保持不变,无功能调整
v1.0.8
openclaw-safe-guard v1.0.8 - 新增 scan.sh 脚本,整合安全扫描逻辑 - 更新 skill 配置与说明文档,反映最新脚本收录情况 - 无破坏性更改,使用方式保持不变
v1.0.7
openclaw-safe-guard v1.0.7 - 新增英文界面支持,输出内容支持中英文双语 - 扩展触发关键词,新增“安全审计”“漏洞检测”“系统安全”等多种触发方式 - 文档内容补充多语言介绍和通用安全审计术语(如 Security Scanner、Skill Auditor) - 移除 scan.sh 文件,调整安全建议 - 细化和丰富使用说明及安全警告
v1.0.4
openclaw-safe-guard v1.0.4 - 新增 skill.yaml 文件,增加标准化元数据声明 - SKILL.md 文档优化,加入快速安装检查清单和更结构化的安全说明 - 强调运行前的环境准备和潜在风险提醒 - 功能与核心使用方式无变动
v1.0.3
Version 1.0.3 of openclaw-safe-guard clarifies权限、依赖和操作风险,提升用户安全告知。 - 增加显著“安全警告”部分,详细说明读取目录与访问网络的风险 - 精简功能描述,更突出静态分析性质 - 明确所有系统依赖和权限声明,并以表格和 JSON 展示 - 强调工具仅读取文件、不执行代码,加入安装前建议 - 优化“限制”与“风险评估”提示,鼓励配合人工审查
v1.0.2
openclaw-safe-guard v1.0.2 - Skill 名称由 skill-security-audit 统一更名为 openclaw-safe-guard,相关文档/说明同步更新。 - 新增官方仓库 (openclaw/*) 会标记为"已通过官方审核",并跳过详细扫描的提示说明。 - 示例和调用流程中由 skill-security-audit 更正为 openclaw-safe-guard。 - 其他内容和使用方式保持不变。
v1.0.1
openclaw-safe-guard v1.0.1 clarifies系统依赖和权限声明,提高安全透明度: - 在 SKILL.md 中新增“依赖要求”“声明的权限”“安全提醒”“安装前建议”等章节 - 明确 Skill 对 curl、jq、git、grep、find 等系统工具的依赖 - 补充权限声明,包括目录读取、网络访问、系统命令调用 - 增加有关源码读取和敏感信息风险的警示 - 保持原有功能与使用方式不变
v0.1.0
openclaw-safe-guard 0.1.0 – Initial Release - 新增 OpenClaw 系统与 Skills 的安全扫描与风险分析能力 - 支持扫描指定或全部已安装 Skill 的权限风险、恶意代码与依赖安全性 - 输出中文安全评估报告,含风险评分与修复建议 - 明确触发指令和使用方式说明 - 静态分析,不执行代码,仅基于启发式规则
元数据
Slug openclaw-safe-guard
版本 1.2.3
许可证 MIT-0
累计安装 8
当前安装数 7
历史版本数 18
常见问题

龙虾安全卫士 是什么?

提供对已安装 Skills 的静态安全扫描,检测权限风险、恶意代码和依赖风险并生成中文风险评估报告。 它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件,目前累计下载 508 次。

如何安装 龙虾安全卫士?

在 OpenClaw 或 Claude Code 对话框中运行命令「/install openclaw-safe-guard」即可一键安装,无需额外配置。

龙虾安全卫士 是免费的吗?

是的,龙虾安全卫士 完全免费,采用 MIT-0 许可证,可自由下载、安装和使用。

龙虾安全卫士 支持哪些平台?

龙虾安全卫士 跨平台运行,可在任意部署了 OpenClaw / Claude Code 的环境中使用(cross-platform)。

谁开发了 龙虾安全卫士?

由 ansengu11(@ansengu11)开发并维护,当前版本 v1.2.3。

推荐 Skills
self-improving agent
Captures learnings, errors, and corrections to enable continuous improvement. Use when: (1) A command or operation fails unexpectedly, (2) User corrects Clau...
⬇ 463283 · by pskoett
Skill Vetter
Security-first skill vetting for AI agents. Use before installing any skill from ClawdHub, GitHub, or other sources. Checks for red flags, permission scope, and suspicious patterns.
⬇ 259410 · by spclaudehome
Polymarket
Query Polymarket prediction markets. Check odds, find trending markets, search events, track price movements.
⬇ 232503 · by joelchance
Self-Improving + Proactive Agent
Self-reflection + Self-criticism + Self-learning + Self-organizing memory. Agent evaluates its own work, catches mistakes, and improves permanently. Use when...
⬇ 200423 · by ivangdavila
Github
Interact with GitHub using the `gh` CLI. Use `gh issue`, `gh pr`, `gh run`, and `gh api` for issues, PRs, CI runs, and advanced queries.
⬇ 191115 · by steipete
ontology
Typed knowledge graph for structured agent memory and composable skills. Use when creating/querying entities (Person, Project, Task, Event, Document), linkin...
⬇ 190156 · by oswalpalash

💬 留言讨论