概览
{
“overview_html”: “Yoder Skill Auditor 是一款专为 OpenClaw/ClawHub 技能设计的权威级安全扫描工具,是当前市场上最全面、最精准的第三方技能安全检测系统。它通过执行18项深度安全检查,能够识别包括提示注入攻击、恶意下载执行、权限提升等高危威胁,并首次实现了对技能文档中‘代理操控’类攻击的检测能力。该工具不仅提供详尽的安全审计报告,还引入了一套基于五个维度的信任评分体系(满分100分),帮助开发者和用户快速评估技能的可靠性与安全性。其设计目标是实现零误报,确保合法技能不会被错误标记,同时以极高的检出率发现潜在风险。无论是个人开发者还是企业团队,都可以借助该工具在技能安装前进行预检,或在日常运维中对已有技能进行定期审计,从而构建起一道坚实的安全防线。”,
“feature_items”: [
“执行18项核心安全检查,涵盖凭证窃取、数据外泄、代码混淆、敏感文件访问等关键威胁”,
“首创对技能文档中的提示注入攻击(如‘忽略指令’、角色劫持)进行检测”,
“提供五维度信任评分系统(安全、质量、结构、透明度、行为),生成0-100分的量化评级”,
“支持版本对比分析(diff-audit)和趋势跟踪功能,监控技能安全状态变化”,
“具备批量扫描、CI/CD集成、Markdown报告生成等高级工作流支持”
],
“scenarios_html”: “Yoder Skill Auditor 适用于多种需要严格技能安全管控的场景。当从 ClawHub 等公共仓库安装新技能时,开发者应首先运行 inspect.sh 脚本进行全面预检,避免引入包含恶意代码或配置错误的技能。对于已部署在生产环境中的技能,可使用 audit-all.sh 对所有已安装技能进行周期性批量审计,及时发现因更新或配置变更引发的安全风险。若团队需要评估两个候选技能的安全性,trust_score.py –compare 命令能提供详细的维度对比和分数差异分析,辅助决策。此外,在持续集成流程中,可通过 –json 输出格式将审计结果集成到自动化流水线,实现‘不安全即失败’的硬性门禁。对于长期维护的技能,定期使用 –save-trend 记录信任分数,并结合 –trend 查看历史趋势,能有效追踪技能健康度变化,预防因上游依赖漏洞或自身代码腐化导致的安全降级。”
}