OpenClaw第三方Skill安全审查

# Skill 安全审查：skill-vetter

> 使用 skill-vetter 审查第三方 Skill 安全性

---

## 一、什么是 skill-vetter

`skill-vetter` 是一个**知识型 Skill**，提供标准化的安全审查协议。

| 特性 | 说明 |
|------|------|
| 类型 | 知识型（无执行脚本） |
| 作用 | 提供审查协议和检查清单 |
| 触发 | **手动触发**，不会自动执行 |

> ⚠️ **重要**：skill-vetter 不会在安装 Skill 时自动触发，需要主动使用。

---

## 二、安装

```bash
npx clawhub@latest install skill-vetter
```

安装位置：`~/.openclaw/skills/skill-vetter/`

---

## 三、使用方式

### 方式一：自然语言触发

直接对话请求审查：

```
用户: 帮我审查一下 quick-note skill 的安全性
AI: [按照 skill-vetter 协议执行审查，生成报告]
```

### 方式二：指定 Skill 路径

```
用户: 审查 ~/.openclaw/skills/xxx-skill 的安全性
AI: [读取该 Skill，执行审查]
```

### 方式三：审查远程 Skill

```
用户: 审查这个 Skill：https://clawhub.ai/xxx/xxx-skill
AI: [获取远程 Skill 信息，执行审查]
```

---

## 四、审查流程

### Step 1: 源检查

```bash
# 查看 Skill 来源信息
ls -la ~/.openclaw/skills/xxx-skill/
stat ~/.openclaw/skills/xxx-skill/SKILL.md
```

确认：
- 来源（ClawHub / GitHub / 本地）
- 作者信息
- 最后更新时间

### Step 2: 文件清单

```bash
# 列出所有文件
find ~/.openclaw/skills/xxx-skill -type f
```

### Step 3: 危险代码检查

```bash
# 检查网络请求
grep -r "curl\|wget\|http://\|https://" ~/.openclaw/skills/xxx-skill/

# 检查危险函数
grep -r "eval\|exec\|base64\|system(" ~/.openclaw/skills/xxx-skill/

# 检查敏感路径
grep -r "\.ssh\|\.aws\|\.config\|MEMORY\|USER\|SOUL\|IDENTITY" ~/.openclaw/skills/xxx-skill/

# 检查权限提升
grep -r "sudo\|chmod\|chown\|root" ~/.openclaw/skills/xxx-skill/
```

### Step 4: 权限范围评估

检查：
- 读取哪些文件
- 写入哪些文件
- 执行哪些命令
- 是否有网络请求

### Step 5: 生成报告

按照标准格式输出审查报告。

---

## 五、危险信号清单

🚨 **发现以下情况立即拒绝**：

| 危险信号 | 说明 |
|----------|------|
| `curl`/`wget` 到未知 URL | 可能外传数据 |
| 请求凭证/令牌/API Key | 可能窃取密钥 |
| 读取 `~/.ssh`、`~/.aws` | 访问敏感配置 |
| 读取 `MEMORY.md`、`USER.md` | 访问用户隐私 |
| `base64` 解码 | 可能隐藏恶意代码 |
| `eval()`/`exec()` 外部输入 | 代码注入风险 |
| 修改系统文件 | 破坏系统 |
| 安装未声明的包 | 供应链攻击 |
| 连接 IP 而非域名 | 难以追踪 |
| 混淆代码 | 隐藏恶意行为 |
| 请求 sudo 权限 | 权限提升 |

---

## 六、风险等级分类

| 等级 | 示例 | 处理方式 |
|------|------|----------|
| 🟢 低 | 笔记、天气、格式化 | 基本审查后可安装 |
| 🟡 中 | 文件操作、浏览器、API | 完整代码审查后安装 |
| 🔴 高 | 凭证、交易、系统操作 | 需要人工确认 |
| ⛔ 极高 | 安全配置、root 访问 | 拒绝安装 |

---

## 七、审查报告模板

```
SKILL VETTING REPORT
═══════════════════════════════════════
Skill: [名称]
Source: [来源]
Author: [作者]
Version: [版本]
───────────────────────────────────────
METRICS:
• Downloads/Stars: [数量]
• Last Updated: [日期]
• Files Reviewed: [数量]
───────────────────────────────────────
RED FLAGS: [None / 列出问题]

PERMISSIONS NEEDED:
• Files: [列表或 None]
• Network: [列表或 None]
• Commands: [列表或 None]
───────────────────────────────────────
RISK LEVEL: [🟢 低 / 🟡 中 / 🔴 高 / ⛔ 极高]

VERDICT: [✅ 可安装 / ⚠️ 谨慎安装 / ❌ 拒绝安装]

NOTES: [备注]
═══════════════════════════════════════
```

---

## 八、示例：审查 quick-note

**请求**：
```
审查 quick-note skill 的安全性
```

**执行**：
```bash
# 检查危险代码
grep -r "curl\|wget\|base64\|eval\|exec" ~/.openclaw/workspace/skills/quick-note/
# 结果：未发现

# 检查敏感路径
grep -r "\.ssh\|\.aws\|MEMORY\|USER\|SOUL" ~/.openclaw/workspace/skills/quick-note/
# 结果：未发现

# 检查权限范围
grep "NOTES_DIR\|write\|mkdir" ~/.openclaw/workspace/skills/quick-note/scripts/create_note.py
# 结果：仅写入 /root/.openclaw/workspace/notes/
```

**报告**：
```
SKILL VETTING REPORT
═══════════════════════════════════════
Skill: quick-note
Source: 本地工作区
───────────────────────────────────────
RED FLAGS: ✅ None
PERMISSIONS NEEDED:
• Files: 写入 notes/ 目录
• Network: None
• Commands: None
───────────────────────────────────────
RISK LEVEL: 🟢 低
VERDICT: ✅ 可安装
═══════════════════════════════════════
```

---

## 九、常见问题

### Q: skill-vetter 会自动运行吗？

**不会**。它是知识型 Skill，需要手动触发。ClawHub 安装命令也不会自动调用它。

### Q: 如何实现自动审查？

需要开发配套脚本和 hook 机制：

```
skill-vetter/
├── SKILL.md
└── scripts/
    └── vet.py    # 自动审查脚本
```

然后在 ClawHub 或 OpenClaw 中配置 pre-install hook。

### Q: 审查后还是不放心怎么办？

对于高风险 Skill：
1. 在沙箱环境中测试
2. 请求人工确认
3. 查看社区评价和 Issue

---

## 十、最佳实践

1. **任何第三方 Skill 都要审查** - 不信任未知来源
2. **高风险 Skill 需人工确认** - 不要自动安装
3. **保留审查记录** - 便于追溯
4. **定期复查已安装 Skill** - 更新后可能有新风险

---

[返回目录](../openclaw-enterprise-hands-on-guide.md)

*最后更新：2026-03-18*