Bomb Dog Sniff(炸弹犬嗅探)是一款专为 OpenClaw 技能生态设计的安全优先工具,其核心理念如同训练有素的警犬嗅探爆炸物一样,在技能安装前精准识别潜在恶意代码。该工具通过静态分析技术对下载或本地的技能包进行深度扫描,自动检测包括加密窃贼、键盘记录器、反向Shell等在内的多种高危威胁。其工作流程严格遵循‘隔离→扫描→仅安装安全项目’的三步机制,确保任何被判定为风险的技能都无法进入系统。v1.2.0 版本进一步强化了安全性,修复了命令注入漏洞并引入路径遍历防护,同时新增二进制文件检测与文件大小限制以防止拒绝服务攻击。它不仅提供命令行接口供开发者直接使用,还支持 CI/CD 集成和可编程 API,使其能够无缝融入自动化安全流水线中。
核心功能特点
- 基于静态分析的深度威胁检测,覆盖13类高危模式如私钥窃取、反向Shell和供应链投毒
- 智能风险评分系统,结合置信度等级输出0-100分风险值,支持自定义阈值控制安装策略
- 安全的沙箱化安装流程,自动将待检技能隔离至随机命名目录后再执行扫描决策
- 多格式输入支持,可扫描本地目录、批量处理文件列表、从 ClawHub/GitHub 自动下载并验证
- 丰富的输出选项,包括详细日志、JSON报告及干运行模式,便于集成到监控体系
- 内置防御性限制机制,防止 ReDoS、大文件攻击和资源耗尽,保障扫描器自身稳定运行
适用场景
Bomb Dog Sniff 特别适合在开放生态中管理第三方技能时的安全需求场景。当用户需要从非官方渠道获取技能(如 GitHub 仓库或个人分享链接)时,可使用 `safe-install` 命令一键完成下载、隔离扫描与条件安装,有效防范供应链攻击和恶意脚本植入。对于已部署环境中的技能维护,`audit` 功能允许定期回溯检查现有技能的安全性,及时发现因更新或配置变更引入的风险。开发者在构建持续集成流程时,可将扫描步骤嵌入 CI 工作流,每次提交自动阻断高风险技能合并,实现左移安全。此外,团队内部共享技能库的场景下,`batch` 命令能高效批量审计多个技能,显著提升运维效率。无论是个人开发者还是企业级组织,借助此工具均可建立前置化的技能准入防线,大幅降低因误装恶意组件导致的数据泄露或服务中断风险。