Skill Security Guide 是一份专为 ClawHub 平台设计的技能安全开发指南,旨在帮助开发者创建或审查技能时确保其符合严格的安全标准。该工具的核心目标是让上传的技能能够通过 ClawHub 的自动化安全扫描,并获得‘良性’(Benign)评级,从而避免被标记为‘可疑’并阻止用户安装。ClawHub 会对所有上传的技能进行自动安全检测,任何未通过安全标准的技能都会被系统警告,影响技能的可用性和可信度。因此,遵循本指南中的最佳实践至关重要。 本指南不仅提供了详细的元数据格式规范,还深入分析了常见的安全问题及其解决方案。它强调了使用 JSON 单行格式编写 SKILL.md 文件的重要性,这是通过安全扫描的关键前提。同时,指南详细列出了代码层面的安全要求,例如禁止禁用 SSL 验证、禁止在日志或输出中打印敏感信息、必须从环境变量读取凭证等。此外,文档一致性也被视为一个核心安全要素,指南特别指出技能文档(SKILL.md)必须与实际代码行为完全匹配,否则可能导致功能异常或被系统判定为误导性声明。 通过提供详尽的检查清单和真实案例研究,本指南为开发者提供了清晰的行动路径。例如,它展示了如何将原本因元数据格式错误、SSL 配置不当或文档与代码不匹配而被标记为‘可疑’的技能(如 hunyuan-video 和 hunyuan-3d),成功修复并通过安全审核。指南还包含了一个完整的‘良性’技能示例(tavily),可作为模板参考。最后,它与 skill-creator-2 形成互补关系,前者专注于技能结构设计,后者则专精于 ClawHub 安全合规,共同构成了一套完整的安全技能开发流程。
核心功能特点
- 提供 ClawHub 技能安全扫描的‘良性’评级获取指南
- 强制要求 SKILL.md 元数据采用 JSON 单行格式,禁止使用 YAML 多行格式
- 明确列出代码安全规范,包括禁用 SSL 验证、禁止泄露敏感信息等
- 强调技能文档(SKILL.md)必须与实际代码行为完全一致,避免功能描述误导
- 提供常见安全问题的症状识别与修复方案,如元数据错误、SSL 配置不当等
- 包含真实案例研究,展示如何将‘可疑’技能修复为‘良性’评级
适用场景
Skill Security Guide 最适用于需要在 ClawHub 平台上发布技能的开发者,尤其是那些希望确保其技能能够快速通过安全审核并获得用户信任的团队或个人。无论你是首次创建技能,还是对现有技能进行安全审查,本指南都能提供明确的指导。它特别适合那些技能涉及 API 调用、环境变量配置或网络请求的场景,因为这些是 ClawHub 安全扫描的重点关注领域。 在实际开发过程中,开发者可以在提交技能前利用本指南提供的预提交检查清单进行自检。例如,检查元数据是否为正确的 JSON 格式,搜索脚本中是否意外禁用了 SSL 验证,以及确保文档中没有泄露 API 密钥等敏感信息。这种主动的、基于清单的验证方式能显著降低安全风险,避免因低级错误导致技能被拒绝。 对于那些已经遇到安全扫描问题的技能,本指南的价值尤为突出。它通过分析真实案例(如 hunyuan-video 和 hunyuan-3d 的修复过程),揭示了常见的陷阱,如文档与代码不匹配、状态字段处理错误等。开发者可以对照这些案例,快速定位自身技能的问题所在,并按照推荐的修复步骤进行调整,从而高效地将技能从‘可疑’状态转变为‘良性’评级。