Skill Review 是一款专为开发者设计的自动化工具,用于快速审查本地技能在 ClawHub 平台上的安全扫描结果。该工具通过抓取 ClawHub 上每个技能的公开页面信息,自动汇总包括 VirusTotal 和 OpenClaw 的安全状态、运行时依赖要求以及社区评论等关键数据,并生成结构清晰的 Markdown 报告。用户只需配置所有者名称和本地技能目录路径,即可一键获取全面的安全与合规性概览。 该工具的核心优势在于其高度自动化与标准化输出能力。它遍历指定目录下所有包含 `SKILL.md` 文件的技能文件夹,利用 Playwright 技术模拟浏览器行为,访问对应的 ClawHub 技能页面,精准提取所需字段。对于命名不一致的情况,支持通过 JSON 映射文件自定义 slug 对应关系,确保灵活性。最终生成的报告统一保存至 `/tmp/` 目录下,便于后续查阅或集成到 CI/CD 流程中。 Skill Review 特别适用于需要定期审计自身技能库安全状况的开发者,尤其是在团队协作环境中,能够快速识别潜在风险项(如恶意代码标记、权限过高请求)或了解其他用户对某技能的反馈情况。它不仅提升了工作效率,也为技能发布前的合规检查提供了可靠依据。
核心功能特点
- 自动枚举本地技能目录下的所有有效技能(含 SKILL.md 文件)
- 抓取 ClawHub 技能页面的安全扫描结果(VirusTotal 状态及报告链接)
- 提取 OpenClaw 安全评分(置信度与判定原因)
- 汇总运行时依赖要求与用户评论内容
- 支持通过 slug-map.json 自定义本地文件夹名与 ClawHub slug 的映射关系
- 生成标准化的 Markdown 格式综合报告
适用场景
Skill Review 最典型的使用场景是开发者在提交新技能前进行自检,或团队内部定期审核技能库的整体安全性。例如,当某个技能涉及敏感操作(如文件系统访问、网络请求)时,开发者可通过该工具快速确认其在 ClawHub 上的安全评级是否达标,避免因误判导致应用被下架或引发用户信任危机。此外,对于开源贡献者而言,查看其他用户留下的评论有助于发现潜在 bug 或改进建议,从而优化技能体验。 另一个常见场景是在持续集成(CI)流程中嵌入安全检查步骤。通过在构建脚本中加入 Skill Review 命令,每次技能更新后自动生成最新报告,实现自动化监控。运维人员也可借此定期检查所有已部署技能的状态变化,及时发现异常变动。尤其在多技能项目或多成员协作环境下,统一的报告格式极大降低了沟通成本,使问题定位更加高效。 此外,该工具对非标准命名习惯的支持也使其在复杂项目结构中表现出色。即使本地文件夹命名与 ClawHub 实际 slug 不一致,也能通过简单的 JSON 映射解决匹配难题,无需手动修改源码或调整目录结构。这种设计既保持了工具的简洁性,又兼顾了现实开发中的各种特殊情况,真正做到了开箱即用且灵活适配。