Crabukit 是一款专为 OpenClaw 技能生态设计的静态安全扫描工具,旨在通过自动化检测防止恶意或存在漏洞的技能被安装到 Clawdex 环境中。它深度集成于 Clawdex 平台,不仅依赖其庞大的已知恶意技能数据库进行快速匹配,还能执行行为分析以识别潜在的零日威胁,从而实现纵深防御体系。Crabukit 的核心价值在于为开发者、运维人员及 CI/CD 流程提供一道可靠的安全关卡,确保只有经过严格审查的技能才能进入生产环境。该工具支持本地技能包扫描、已安装技能的复查以及自动化流水线中的安全门禁检查,是当前 OpenClaw 生态中不可或缺的安全基础设施组件。
核心功能特点
- 深度集成 Clawdex 数据库,自动比对超过824个已知恶意技能记录
- 静态代码分析能力,可检测硬编码密钥、API令牌等敏感信息泄露风险
- 识别高危代码模式如 eval/exec 调用和 subprocess(shell=True) 命令注入
- 评估 Shell 脚本风险,包括管道执行 curl | bash 和无引号变量扩展等危险操作
- 基于多维度检测结果生成0-100分风险评分,支持按严重级别(low/medium/high/critical)过滤输出
- 提供CI/CD友好接口,可通过 –fail-on 参数设置构建失败阈值实现自动化阻断
适用场景
Crabukit 特别适用于需要保障 OpenClaw 技能供应链安全的各类场景。对于独立开发者而言,在将自定义技能发布到公共仓库前使用 crabukit scan ./my-skill 进行本地预检,可有效避免因无意引入安全隐患而损害声誉。在企业级部署环境中,管理员可在技能安装阶段调用 crabukit install skill-name 命令,由工具自动完成前置扫描并拦截高风险项目,降低整体系统暴露面。更关键的是,Crabukit 能够无缝嵌入持续集成流程——只需在 GitHub Actions 或 GitLab CI 中添加 crabukit scan –fail-on=high 指令,即可实现每次提交都强制通过安全门禁,确保主分支始终处于受控状态。此外,当发现可疑技能时(如来自第三方源或社区贡献者),运维团队可利用 crabukit scan /path/to/suspicious-skill 对本地副本进行全面分析,结合 Clawdex 的云端情报交叉验证结果,形成完整的威胁研判链条。