ClawHavoc 事件:341 个恶意 Skill 入侵 9,000+ 安装实例
Agent Skill
安全扫描器
扫描 OpenClaw Skill 中的漏洞、硬编码密钥、供应链风险等安全问题。23 条规则,A-F 评分,一行命令。
terminal
$ clawsafety scan ./my-skill/
ClawSafety v0.1.0
Scanning: ./my-skill/
Findings: 3
CRITICAL CS-SEC-002 检测到硬编码 API Key
scripts/config.py:12
> api_key = "sk-proj-abc123..."
HIGH CS-INJ-001 Shell 命令注入
scripts/run.sh:45
> eval $USER_INPUT
MEDIUM CS-DEP-002 依赖版本未锁定
skill.yaml:8
> requests>=2.0
评分: 52/100 (D)
Critical: 1 | High: 1 | Medium: 1工作流程
1
粘贴 URL
输入任意 GitHub Skill 仓库地址,无需登录。
2
自动扫描
23 条规则检测注入、密钥泄露、依赖风险、权限问题和威胁情报。
3
获取评分
A-F 安全评分 + 详细发现列表 + 修复建议。
23 条安全规则
6 大类别,覆盖 Agent Skill 完整攻击面
INJ注入
4 条规则Shell 注入、SQL 注入、危险函数调用、反弹 Shell
SEC敏感信息
4 条规则硬编码密码、API Key、私钥泄露、URL 内嵌凭证
DEP依赖安全
4 条规则不安全安装、版本未锁定、已知 CVE、不可信下载
PRM权限
4 条规则权限过度申请、敏感路径访问、环境变量滥用、不安全的文件权限
CFG配置
4 条规则缺少 SKILL.md、无版本声明、无权限声明、Prompt 注入风险
IOC威胁情报
3 条规则已知 C2 IP 检测、恶意域名检测、恶意发布者检测
安全评分体系
A
90-100
优秀
B
75-89
良好
C
60-74
一般
D
40-59
较差
F
0-39
危险