专业代码安全审计与漏洞分析

OpenClaw 官方安全审计技能，支持代码安全审查、漏洞评估与隐私合规检查，输出结构化安全报告。

基本信息

• 技能名称?claw skill security audit
• 中文名称?专业代码安全审计与漏洞分析
• 作者?kylehuan
• 分类?其他
• 版本?1.0.0
• 标签?security-audit, vulnerability-scanning, sast, code-review, llm-safety, privacy-compliance, static-analysis, penetration-testing, devsecops

使用方法

使用说明
核心用法
security-analysis 是 OpenClaw 官方安全审计工具，专用于代码库安全审查与漏洞分析。该技能采用严格的触发机制，仅在用户明确请求安全分析、代码安全审查、漏洞评估、SAST 扫描或识别源代码安全问题时才会激活。
主要功能模块：

1. SKILL.md 安全审查 ：重点检测指令注入漏洞、数据外泄风险、权限提升、隐藏指令、不安全工具使用及社会工程攻击。
2. 通用漏洞分类检测 ：
   硬编码密钥（API_KEY、SECRET、TOKEN 等）
   访问控制缺陷（IDOR、路径遍历、缺少函数级授权）
   注入漏洞（SQLi、XSS、命令注入、SSRF）
   LLM/提示安全（提示注入、不安全执行、输出注入）
   隐私违规（敏感数据流向日志或第三方 API）
3. 结构化报告输出 ：采用 Critical/High/Medium/Low 四级严重度评估，每处漏洞标注类型、位置、代码片段、影响描述及修复建议。
   显著优点
   官方权威性 ：OpenClaw 原生内置技能，非第三方插件
   只读安全模式 ：默认使用 ls -R 、 grep 、 read-file 等只读工具，不修改用户代码
   高保真规则 ：严格执行 5 项验证（是否在可执行内容、能否定位行号、是否有直接证据、是否可修复、是否有实际影响），避免误报
   LLM 专用覆盖 ：针对大模型应用场景设计，检测提示注入、LLM 输出流向执行层等新型风险
   潜在局限
   依赖显式触发 ：不会主动扫描，需用户明确指令
   静态分析为主 ：无法检测运行时动态漏洞
   范围限定 ：主要面向源代码与 SKILL.md 文件，不涉及二进制或网络层渗透测试
   无自动修复 ：仅提供报告与建议，不执行代码修复
   适合人群
   开发者、安全工程师、代码审查人员、DevSecOps 团队，以及需要审计 OpenClaw 技能文件安全性的平台运营方。
   常规风险
   误报控制 ：高保真规则虽减少误报，但可能遗漏边缘风险
   技能被滥用 ：恶意 SKILL.md 可能尝试覆盖系统安全指令，需结合本工具定期自查
   报告存储位置 ：分析产物默认存放于 .shield_security/ 目录，需注意该目录权限管理