安全审计
skill-security-audit
by chensu1234
|
安装
claude skill add --url github.com/openclaw/skills/tree/main/skills/chensu1234/skill-security-audit-v2文档
Skill Security Audit 🔐
对已安装的 Skills 进行安全审计,识别风险行为并提供修复建议。
审计类别
| # | 类别 | 说明 |
|---|---|---|
| 1 | 命令执行 | 检查不安全的 shell/python/node 执行 |
| 2 | 网络访问 | 检查未经授权的网络请求 |
| 3 | 文件访问 | 检查过度文件系统访问 |
| 4 | 数据泄露 | 检查未授权数据外传 |
| 5 | 依赖风险 | 检查不安全依赖 |
| 6 | 提示词越权 | 检查绕过安全边界 |
| 7 | 触发条件 | 检查描述是否过宽 |
严重程度
| 等级 | 说明 |
|---|---|
| Critical | 明显允许危险操作 |
| High | 重大滥用风险 |
| Medium | 潜在滥用风险 |
| Low | 小问题 |
| Info | 设计选择 |
使用方法
1. 准备审计材料
用户提供:
- 已安装 Skills 列表
- 每个 Skill 的文件内容(SKILL.md、scripts、references 等)
2. 执行审计
按照审查矩阵检查每个 Skill:
- 盘点文件
- 分类能力
- 检查风险
- 收集证据
- 评级
- 修复
3. 输出报告
每个 Skill 的报告结构:
# [skill name]
## verdict
- overall rating: [block/review/acceptable]
- top risks: [风险列表]
## findings
- category:
- severity:
- evidence:
- impact:
- remediation:
## replacement text
修复建议文本
审查矩阵
1. 任意命令执行
- ⚠️ 高风险:允许任意 bash/sh/powershell/python/node 执行
- ✅ 修复:限制为固定命令列表
2. 外部网络访问
- ⚠️ 高风险:访问任意 URL
- ✅ 修复:限制为白名单域名
3. 本地文件访问
- ⚠️ 高风险:读取整个目录/主目录
- ✅ 修复:限制为用户提供的文件
4. 数据泄露
- ⚠️ 高风险:未经确认发送/上传数据
- ✅ 修复:需要明确用户确认
5. 依赖风险
- ⚠️ 高风险:未固定版本的可疑依赖
- ✅ 修复:固定版本,使用标准库
6. 提示词越权
- ⚠️ 高风险:忽略系统/策略约束
- ✅ 修复:重述系统规则优先
7. 触发条件过宽
- ⚠️ 高风险:描述过于宽泛
- ✅ 修复:精确触发场景
输出要求
最终报告包含:
- 每个 Skill 的详细报告
- 总体摘要
- 最高风险项
- 修复优先级
示例
输入
Skills: [peekaboo, admapix, humanizer]
文件内容: SKILL.md, scripts/, ...
输出
# Portfolio Summary
- audited skills: 3
- block: 0
- review before use: 1
- acceptable: 2
- most common risk patterns: [列表]
- immediate remediation priorities: [优先级]
相关 Skills
安全专家
by alirezarezvani
覆盖威胁建模、漏洞评估、安全架构设计、代码审计与渗透测试,内置 STRIDE、OWASP、加密模式和安全扫描流程,适合系统设计评审与上线前安全排查。
✎ 安全专家把威胁建模、漏洞分析到渗透测试串成一套流程,内置 STRIDE 与 OWASP 指南,做安全设计和排查更省心。
安全审计
by alirezarezvani
安装前审计 Claude Code Skill 的代码执行、Prompt 注入和依赖供应链风险,支持本地目录或 Git 仓库扫描,输出 PASS/WARN/FAIL 结论及修复建议
✎ 把代码审查、漏洞扫描和合规检查串成一条线,帮团队更早发现风险,做安全治理更省心。
安全运营
by alirezarezvani
覆盖应用安全、漏洞管理与合规审计,支持代码/依赖扫描、CVE 评估、Secrets 检测和安全自动化,适合做安全基线落地、漏洞响应、审计检查与安全开发治理。
✎ 应用安全、漏洞管理和合规检查一套打通,还能自动化扫描与响应,帮团队更早发现并收敛风险。
相关 MCP 服务
by Sentry
搜索和分析 Sentry 错误报告,辅助调试。
✎ 把零散的 Sentry 错误报告变成可检索线索,帮你在海量报错里更快定位线上故障,排障调试明显省时。
by sinewaveai
为 AI agents 提供安全层:拦截 prompt injection、识别伪造 packages,并扫描漏洞风险。
✎ 给 AI Agent 补上关键安全层,能拦截 prompt 注入、识别伪造包并扫描漏洞风险,把防护前置更省心。
by pantheon-security
强化安全性的 NotebookLM MCP,集成 post-quantum encryption,提升数据防护能力。