← 返回 Skills 市场

References

Name: References
Author: 13256659129

作者 13256659129 · GitHub ↗ · v1.0.0 · MIT-0

cross-platform ⚠ suspicious

329

总下载

当前安装

版本数

在 OpenClaw 中安装

/install references

功能描述

全方位安全审计技能。检查文件权限、环境变量、依赖漏洞、配置文件、网络端口、Git 安全、Shell 安全、macOS 安全、密钥检测等。支持 CLI 参数、JSON 输出、配置文件。当用户要求"安全检查"、"漏洞扫描"、"权限检查"、"安全审计"时使用此技能。

安全使用建议

简明建议： 1) 在信任并运行此技能前，人工打开并检查 scripts/send_report_to_feishu.py 和 scripts/security_audit.py 中的发送函数；确认任何 webhook 或 OpenClaw 插件 apiEndpoint 都是你信任的目的地。 2) 检查并移除或替换 scripts/weekly_ugc_reminder.sh 中的硬编码 webhook（该脚本包含公开的企业微信 webhook key）。 3) 由于脚本会读取 ~/.openclaw/openclaw.json、workspace 下文件、shell 历史和环境变量，若担心敏感数据外泄，请先在隔离环境或受控用户目录（非生产主机、非包含真实凭证的账户）中运行并审查输出。 4) 注意脚本会调用 npm audit、lsof、curl 等工具（需本地可用）；确保这些工具来自受信任来源。 5) 要求维护者或发布者解释元数据差异（skill 名称/ownerId 与脚本内部标识不一致）以及如何处理报告发送/存储策略；若维护者无法合理说明，建议拒绝安装或仅在沙箱内使用。

功能分析

Type: OpenClaw Skill Name: references Version: 1.0.0 The bundle provides a comprehensive security audit tool that accesses highly sensitive data, including SSH keys, AWS credentials, and environment variables. While its stated purpose is auditing, the 'send_report_to_feishu.py' script facilitates the exfiltration of these findings to an external webhook, and 'security_audit.py' specifically includes partial secret values (first 50 characters) in its report for shell configuration leaks. Additionally, the bundle contains unrelated scripts like 'weekly_ugc_reminder.sh' which features a hardcoded WeChat webhook (5cf9f411-d581-41ab-a899-304a418bb176), and 'monthly_payment_summary.sh' which scans for financial documents, both of which are atypical for a security audit package.

能力评估

ℹ Purpose & Capability

SKILL.md 与多数脚本确实实现了“全方位安全审计”功能（文件权限、密钥检测、依赖审计、端口检查、Git 历史等），这与描述一致. 但存在不一致：注册元数据与脚本内部 name/owner 不完全匹配（SKILL 名称/slug/ownerId 不一致），README 与文件夹引用路径（references/*）也不完全统一——应核实来源/维护者身份。

⚠ Instruction Scope

运行时指令和脚本会读取大量本地内容（~/.openclaw/openclaw.json、workspace、~/.ssh、shell history、git commit diff、进程环境变量）、调用系统工具（lsof、npm audit via subprocess）、并构建完整审计报告。脚本还能将报告发送到飞书 webhook 或通过 OpenClaw 插件 API 上传：这意味着审计结果（可能包含发现的密钥/凭证）会被发出到外部端点。SKILL.md/metadata 未声明任何必需环境变量或外部端点，且代码中有硬编码 webhook（scripts/weekly_ugc_reminder.sh），增加了意外外发的风险。

✓ Install Mechanism

这是一个 instruction+脚本包（无 install spec），不会自动下载或写入外部二进制，安装风险较低。但注意脚本会在运行时调用系统工具（curl、npm、lsof等）；首次运行可能需要本地安装这些工具/依赖。

⚠ Credentials

registry 要求的环境变量与元数据中声明的不匹配：metadata 列出“无必需 env”，但脚本/文档使用/参考了 FEISHU_WEBHOOK_URL、WEBHOOK_KEY 及 OpenClaw 插件配置（openclaw.json 中的插件 apiEndpoint）。此外 scripts/weekly_ugc_reminder.sh 包含硬编码的企业微信 webhook key，会向外部 URL 发送内容。要求访问用户主目录下 OpenClaw 配置和 workspace（合理），但发送端点和凭证未在元数据中明确声明，可能导致意外泄露敏感审计结果。

✓ Persistence & Privilege

技能没有设置 always:true，默认允许模型调用（平台默认）。脚本不会在安装时修改其它技能配置或要求常驻权限。需要 root/sudo 才能执行某些检查（文档已说明）。总体权限请求与功能相符，但自动发送报告到已配置的 webhook 或插件会扩大影响面，建议用户审查接收端点。

如何使用

确保已安装 OpenClaw（本地或 Docker 部署）
在对话框中输入安装命令：/install references
安装完成后，直接呼叫该 Skill 的名称或使用 /references 触发
根据 Skill 的参数说明提供必要输入，即可获得结构化输出

版本历史

v1.0.0

SX-security-audit v1.0.0 introduces a comprehensive skill for security audits on files, code, dependencies, and systems. - Performs checks on file permissions, world-writable files, dependencies, environment variables, git ignore/security, network ports, shell and macOS security, and secret/key leaks. - Supports CLI usage with selectable modules, severity filtering, JSON output, and custom configuration files. - Integrates precise key/secret detection with regex and entropy checks; covers AWS, GitHub, Slack, OpenAI, JWT, and private keys. - Generates rich, filterable reports with summaries, actionable findings, and can send results in multiple formats to Feishu. - Configuration supports path exclusions, severity thresholds, report formatting, and flexible report delivery via Feishu plugin or webhook.

元数据

Slug references

版本 1.0.0

许可证 MIT-0

累计安装 1

当前安装数 1

历史版本数 1

常见问题

References 是什么？

全方位安全审计技能。检查文件权限、环境变量、依赖漏洞、配置文件、网络端口、Git 安全、Shell 安全、macOS 安全、密钥检测等。支持 CLI 参数、JSON 输出、配置文件。当用户要求"安全检查"、"漏洞扫描"、"权限检查"、"安全审计"时使用此技能。它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件，目前累计下载 329 次。

如何安装 References？

在 OpenClaw 或 Claude Code 对话框中运行命令「/install references」即可一键安装，无需额外配置。

References 是免费的吗？

是的，References 完全免费，采用 MIT-0 许可证，可自由下载、安装和使用。

References 支持哪些平台？

References 跨平台运行，可在任意部署了 OpenClaw / Claude Code 的环境中使用（cross-platform）。

谁开发了 References？

由 13256659129（@13256659129）开发并维护，当前版本 v1.0.0。