skill-guard 是专为 ClawHub 技能设计的唯一预安装安全网关,旨在保护用户免受恶意技能带来的安全风险。与传统的病毒扫描工具不同,它不是在技能发布后运行,而是在客户端安装前主动拦截潜在威胁。该工具通过 Snyk Agent Scan(原 mcp-scan)对技能内容进行深度分析,能够识别出传统杀毒软件无法检测的 AI 特定攻击类型。其核心优势在于能够在不接触用户真实技能目录的情况下,将待安装技能下载至临时目录进行安全扫描,从而确保系统环境的安全隔离。当发现威胁时,技能会被自动隔离而非直接安装,为用户提供充分的时间进行审查或决定后续操作。
核心功能特点
- 在技能安装前执行客户端侧安全扫描,实现真正的预安装防护
- 集成 Snyk Agent Scan 技术,专门检测提示注入、恶意载荷等 AI 特有威胁
- 支持对隐藏指令、数据外泄 URL、硬编码密钥等高危行为进行识别
- 提供清晰的风险等级划分和详细的威胁报告,便于用户判断处理
- 采用沙箱机制,所有扫描均在临时目录完成,绝不污染用户真实环境
- 具备完善的错误处理机制,包括扫描器不可用时的明确提示
适用场景
skill-guard 特别适用于需要频繁安装第三方技能的开发者和企业用户场景。对于个人开发者而言,当从社区或外部渠道获取新技能时,可以通过 safe-install.sh 脚本自动完成安全检查流程,有效防止因误装恶意技能而导致敏感信息泄露或系统被控制的风险。在企业级部署环境中,该工具可作为 CI/CD 流水线的一部分,在技能集成到生产环境前强制进行安全验证,确保整个技能生态系统的安全性。此外,对于使用 ClawHub 构建智能代理系统的团队来说,skill-guard 提供了关键的信任保障机制——因为代理会默认信任所安装的所有技能,所以必须在安装环节建立严格的安全关卡。无论是个人项目还是团队协作,都建议将 skill-guard 作为标准安装流程的必备组件来使用。