介绍
# Skill Security Scanner
在安装前扫描技能是否存在恶意模式。检测凭据窃取、可疑网络调用、混淆代码、提示注入以及其他危险信号。
## 快速开始
```bash # Scan a local skill folder python3 scripts/scan.py /path/to/skill
# Verbose output (show matched lines) python3 scripts/scan.py /path/to/skill --verbose
# JSON output (for automation) python3 scripts/scan.py /path/to/skill --json ```
## 工作流程:安装前扫描
1. 下载或找到技能文件夹 2. 运行 `python3 scripts/scan.py <skill-path> --verbose` 3. 按严重性审查发现结果(CRITICAL/HIGH = 不要安装) 4. 向用户报告结果并提供建议
## 分数解读
| 分数 | 含义 | 建议 | |-------|---------|----------------| | CLEAN | 未发现问题 | 可以安全安装 | | INFO | 仅包含次要提示 | 可以安全安装 | | REVIEW | 中等严重性发现 | 安装前请手动审查 | | SUSPICIOUS | 高严重性发现 | 未经彻底手动审查,请勿安装 | | DANGEROUS | 检测到关键问题 | 请勿安装 —— 可能是恶意的 |
## 退出代码
- `0` = CLEAN/INFO - `1` = REVIEW - `2` = SUSPICIOUS - `3` = DANGEROUS
## 规则参考
请参阅 `references/rules.md` 获取检测规则、严重性级别和白名单域名的完整列表。
## 局限性
- 基于模式的检测 —— 无法捕获所有混淆技术 - 无运行时分析 —— 仅进行静态扫描 - 访问网络/文件的合法工具可能会产生误报 - 对于 HIGH/MEDIUM 严重性的发现,请务必结合手动审查进行