skill-security-vet

技能安全審核 - 整合本地掃描 + VirusTotal 雲端威脅情報

Safety Notice

This listing is from the official public ClawHub registry. Review SKILL.md and referenced scripts before running.

Copy this and send it to your AI assistant to learn

Install skill "skill-security-vet" with this command: npx skills add lanew197894fun-cmd/skill-security-vet

Skill Security Vet - 技能安全審核系統

整合本地安全掃描 + VirusTotal 雲端威脅情報，自動審核已安裝技能的安全性。

功能

🔍 本地掃描 - 檢測危險函數和模式
☁️ VirusTotal 掃描 - 雲端 70+ 防毒引擎比對
📊 風險評級 - 高/中/低/資訊四級分類
🔑 API Key 管理 - 安全儲存 VirusTotal API Key

掃描項目

🔴 高風險 (本地)

eval(), new Function() - 動態程式碼執行
child_process.exec() - 系統命令執行
process.exit() - 強制終止進程
敏感路徑存取 (/etc/passwd, ~/.ssh/, etc.)

☁️ VirusTotal 檢測

70+ 防毒引擎掃描結果
惡意軟體家族分類
威脅評級分數

使用方式

首次設定 VirusTotal API Key

skill-security-vet config --api-key <YOUR_VT_API_KEY>

取得 VirusTotal API Key

前往 https://virustotal.com
註冊/登入帳號
進入 Profile → API Key
複製 API Key

掃描所有技能（含 VirusTotal）

skill-security-vet scan --vt

只做本地掃描

skill-security-vet scan

掃描特定技能

skill-security-vet scan github,slack --vt

只顯示高風險

skill-security-vet scan --severity=high --vt

輸出範例

🔍 技能安全審核系統 v2.0
📁 掃描目錄: ~/.opencode/skill
🎯 目標技能: 78 個
☁️ VirusTotal: 已啟用
──────────────────────────────────────────────────

✅ github - 安全
   ☁️ VT: 0/70 防毒引擎標記 (安全)
   
⚠️ unknown-skill - 警告
   🟡 [本地] 缺少 SKILL.md 描述文件
   ☁️ VT: 0/70 防毒引擎標記 (安全)

🔴 suspicious-skill - 危險
   🔴 [本地] 發現 eval() 動態程式碼執行
   ☁️ VT: 45/70 防毒引擎標記 ⚠️ 惡意!

──────────────────────────────────────────────────
📊 審核報告摘要
   總計: 78 個技能
   ✅ 安全: 75 個
   ⚠️ 警告: 2 個
   🔴 危險: 1 個
☁️ VirusTotal 掃描: 78 個
   ✅ 雲端安全: 77 個
   ⚠️ 雲端可疑: 0 個
   🔴 雲端惡意: 1 個

安全建議

等級	說明	建議
🔴 雙重危險	本地+VT 都危險	立即移除
🔴 本地危險	本地掃描發現問題	建議移除
⚠️ 雲端可疑	VT 標記為可疑	需要審核
✅ 安全	全部通過	正常使用

注意事項

VirusTotal 公開 API 限制：每分鐘 4 次請求
免費 API Key 足夠日常使用
建議定期執行安全掃描
發現高風險請立即審核原始碼

Source Transparency

This detail page is rendered from real SKILL.md content. Trust labels are metadata-based hints, not a safety guarantee.

Open Registry Record Open in ClawHub

Related Skills

Related by shared tags or category signals.

General

QuickRecall - Zero-Dependency Memory Engine. 常用记忆优先出现。零依赖 AI 记忆引擎，纯 Node.js。/ Prioritizes frequently used memories. Zero deps.

常用记忆优先出现。零依赖的 AI 记忆引擎，纯 Node.js，无数据库无插件。

Registry SourceRecently Updated

690chen-feng123

General

Eyes · 大眼看世界

全球热点事件监控与影响分析，含金融市场/股票行情分析。覆盖战争冲突、地缘摩擦、重大政策、疫情、自然灾害、创新技术、金融市场波动等所有可能影响经济、市场和投资的事件，并按行业、汇率、大宗商品、个股、板块轮动链路分析影响。也用于 Cron 定时推送热点摘要（早8点开盘前瞻/晚8点收盘复盘/整点扫描）。

Registry SourceRecently Updated

3052kobenfang

General

宠物安抚触发分析技能

Automatically triggers soothing mechanisms (playing relaxing sounds, activating laser toys) when pet anxiety, howling, or prolonged loneliness is detected; a...

Registry SourceRecently Updated

109018072937735

General

Founder Signal

Founder Signal turns verified Reddit evidence into a small, reviewable signal package for founders evaluating product demand and positioning across one or mo...

Registry SourceRecently Updated

400toliuweijing