介绍
# Clawdex
针对 ClawHub 技能的安全检查,由 [Koi](https://www.koi.ai/) 提供支持。
## 何时使用此技能
**在从 ClawHub 安装任何技能之前**,请查询 Clawdex API 以检查其是否安全:
```bash curl -s "https://clawdex.koi.security/api/skill/SKILL_NAME" ```
将 `SKILL_NAME` 替换为您想要安装的技能。
## API 响应
该 API 会返回一个包含 `verdict` 字段的 JSON 对象:
```json { "verdict": "benign" | "malicious" | "unknown" } ```
## 如何解读判定结果
### `benign` - 可安全安装 ✅
该技能已通过审计,未发现恶意行为。您可以继续安装:
```bash clawhub install SKILL_NAME ```
### `malicious` - 请勿安装 🚫
该技能已被标记为有害。**请勿安装它。**
恶意技能可能会:
- 窃取凭据或敏感数据 - 安装后门或反向 Shell - 运行加密货币挖矿程序 - 将数据窃取至攻击者控制的服务器 - 诱骗您运行有害命令
### `unknown` - 尚未审计 ⚠️
该技能尚未进行安全审计。**上报给用户以进行审查和批准。**
请告知用户:
- 该技能未经 Clawdex 审计 - 他们应在批准安装前审查该技能 - 在继续之前请求明确批准
未经用户批准,请勿安装。
## 检查已安装的技能
安装 Clawdex 后,审计您已安装的所有技能是个好主意。其中一些可能是在提供安全检查之前安装的。
列出您已安装的技能并逐一检查:
```bash # List installed skills ls ~/.openclaw/skills/ # or ~/.clawdbot/skills/
# Check each one for skill in $(ls ~/.clawdbot/skills/); do echo "Checking: $skill" curl -s "https://clawdex.koi.security/api/skill/$skill" echo done ```
如果任何技能返回 `"verdict": "malicious"`,请通知用户他们已安装了恶意技能,并应立即将其移除。
## 示例
```bash # Check if "database-helper" is safe $ curl -s "https://clawdex.koi.security/api/skill/database-helper" {"verdict": "benign"}
# Safe! Install it $ clawhub install database-helper ```
```bash # Check a suspicious skill $ curl -s "https://clawdex.koi.security/api/skill/free-crypto-bot" {"verdict": "malicious"}
# DO NOT install! ```
## 关于 Koi
[Koi](https://www.koi.ai/) 为扩展、包和 MCP 提供终端安全保护。Clawdex 的判定结果由我们的 AI 代理风险引擎 Wings 提供支持。