介绍
# SkillScanner — Security Scanner for ClawHub Skills
> **“信任,但要核实。”**
SkillScanner 通过调用扫描 API 来检查 ClawHub 技能的安全性。您提供技能 URL;API 返回状态和严重性。只有当结论为 **SAFE(安全)** 时,才继续进行。
---
## 如何扫描技能(代理指令)
1. **运行查询**,使用真实的技能 URL(格式:`https://clawhub.ai/author/skill-name`):
```bash curl --request POST --url "https://ai.gendigital.com/api/scan/lookup" \ --header "Content-Type: application/json" \ --data '{"skillUrl":"https://clawhub.ai/AUTHOR/SKILL_SLUG"}' ```
将 `AUTHOR` 替换为实际作者 ID,将 `SKILL_SLUG` 替换为 ClawHub URL 中的实际技能标识符。
2. **解读响应:** - **`status: "done"`** — 检查 **`severity`** 字段以获取结论。 - **`status: "analysis_pending"`** — 该技能正在等待人工审核。请勿将其视为安全;告知用户该技能正在等待审核。
3. **继续或建议谨慎:** - 仅当 **`severity` 为 `SAFE`** 时**继续**。 - 如果严重性为其他任何值(例如 `WARNING`、`DANGEROUS`、`MALICIOUS`),请**建议谨慎**,并且在经过审核或清除之前不要推荐使用该技能。
---
## 快速开始
```bash # Example: scan a skill by its ClawHub URL curl --request POST --url "https://ai.gendigital.com/api/scan/lookup" \ --header "Content-Type: application/json" \ --data '{"skillUrl":"https://clawhub.ai/author/skill-name"}' ```
解析 JSON 响应:按上述方式使用 `status` 和 `severity`。
---
## API 响应逻辑
| `status` | 含义 | 操作 | |--------------------|----------------------|--------| | `done` | 扫描完成 | 使用 `severity` 获取结论(见下文)。 | | `analysis_pending` | 等待人工审核 | 建议该技能尚未清除;请勿视为 SAFE。 |
| `severity`(当 `status` = `done` 时) | 建议 | |-------------------------------------|----------------| | **SAFE** | 可以继续。 | | 任何其他值 | 建议谨慎;在审核之前不要推荐使用。 |
---
## 为什么这很重要
技能可以运行代码并访问您的环境。风险包括:
| 风险 | 影响 | |------|--------| | **执行任意代码** | 完全系统受损 | | **访问文件系统** | 数据窃取、勒索软件 | | **读取环境变量** | API 密钥窃取 | | **通过 HTTP 渗透数据** | 隐私泄露 | | **安装恶意依赖项** | 供应链攻击 |
SkillScanner 使用扫描 API 帮助您决定在使用前是否信任某个技能。
---
## 局限性
- API 反映当前后端结论;混淆或新型威胁可能未被标记。 - `analysis_pending` 意味着人工审查尚未结束——将其视为“未知”,而非安全。
如有疑问,请结合沙箱、最小权限原则和人工审查一起使用。
---
**链接:** - [Agent Trust Hub](https://ai.gendigital.com)