一、技能功能说明
skill-vetter(技能安全审查员)是AI助手的安全防护工具,它可以对所有外部来源的技能进行全面的安全检测,确保安装的技能不会包含恶意代码、不会泄露你的隐私、不会执行危险操作,从源头上保障使用安全。
项目地址 :https://github.com/openclaw/skills/tree/main/skills/spclaudehome/skill-vetter
它可以帮你完成这些事情:
- 恶意代码检测:对技能的所有代码进行静态扫描,检测是否包含病毒、木马、挖矿程序、远程控制等恶意代码,一旦发现立即拦截。
- 权限审计:分析技能请求的所有权限,判断权限是否超出了技能功能的合理范围,比如一个生成图片的技能请求访问你的文件系统、读取浏览器历史记录,就会被判定为风险。
- 隐私泄露防护:检测技能是否存在收集、上传你的本地文件、聊天记录、账号密码等隐私数据的行为,防止隐私泄露。
- 危险操作拦截:检测技能是否会执行删除文件、格式化磁盘、修改系统配置、安装未知软件等危险操作,提前拦截风险。
- 开源许可证检查:检查技能使用的开源依赖是否存在许可证冲突,避免因为使用开源代码导致的法律风险。
- 安全等级评估:对每个技能给出安全等级评分,从1星到5星,只有达到3星以上的技能才推荐安装。
二、调用方式
斜杠命令调用
直接输入斜杠命令即可触发:
/skill-vetter [操作] [技能路径/地址]常用命令示例:
/skill-vetter scan ./new-skill:扫描本地的new-skill技能是否安全/skill-vetter check https://github.com/xxx/skill:检查远程GitHub仓库的技能是否安全/skill-vetter report skill-name:生成指定技能的详细安全报告/skill-vetter whitelist add skill-name:将指定技能添加到白名单,下次扫描自动通过
自然语言调用
无需记忆命令,直接用自然语言描述需求即可自动触发:
- "我刚下载了一个新技能,帮我检查一下有没有安全问题":自动扫描当前目录下的新技能
- "这个技能请求访问我的所有文件,会不会有风险?":分析权限风险
- "安装这个技能会不会泄露我的聊天记录?":检测隐私泄露风险
- "帮我看看这个技能的代码有没有问题":全面代码审计