Oliver Drobnik 开发的 ClawHub 安全扫描抓取工具,自动汇总本地 skills 的安全状态、运行时需求及评论,生成结构化审查报告。
基本信息
- 技能名称?skill-review
- 中文名称?ClawHub 安全扫描一键聚合
- 作者?odrobnik
- 分类?开发
- 版本?v0.2.4
- 标签?security, automation, devops, testing, content-media, development-engineering
使用方法
使用说明
核心用法
skill-review 是一款面向 ClawHub 平台开发者的安全审查辅助工具。用户通过命令行运行 Python 脚本,指定本地 skills 目录(默认为 ~/Developer/Skills )和 ClawHub 用户名,工具将自动枚举所有包含 SKILL.md 的本地技能文件夹,使用 Playwright 驱动的 Chromium 浏览器访问对应的 ClawHub 页面,抓取 VirusTotal 安全扫描状态、OpenClaw 置信度评估、运行时依赖要求及用户评论,最终生成一份结构化的 Markdown 报告保存至 /tmp// 目录。
显著优点
- 自动化安全审计 :将原本需要手动逐个查看的 ClawHub 安全信息聚合为单份报告,大幅提升多技能管理效率。
- 精准信息提取 :针对 ClawHub 页面结构优化,能准确解析 Security Scan、Runtime Requirements、Comments 三大核心区块。
- 灵活映射支持 :通过 --slug-map 参数解决本地文件夹名与 ClawHub slug 不一致的常见问题,适配复杂项目结构。
- 透明可信 :完全开源,代码结构清晰、类型注解完整,无黑箱操作。
潜在缺点与局限性 - 依赖外部浏览器 :Playwright + Chromium 的安装体积较大,首次配置耗时,且对系统资源有一定要求。
- 网络依赖性强 :完全依赖 ClawHub 网站可访问性,若平台改版或限流,抓取逻辑可能失效。
- 无增量更新机制 :每次运行均全量抓取,无法仅同步变更项,技能数量多时效率下降。
- 报告输出固定 :仅支持 Markdown 格式输出至 /tmp/ ,缺乏自定义模板或多种格式(JSON/HTML)选项。
适合的目标群体
ClawHub 多技能维护者 :需要定期审查大量 skills 安全状态的开发者
DevOps/安全工程师 :负责团队技能库合规性检查的技术人员
开源贡献者 :希望快速了解社区技能安全概况的审核人员
使用风险
Playwright 供应链风险 :依赖 Chromium 二进制分发,虽为主流方案,但仍需关注上游安全公告
API 密钥管理 : VIRUSTOTAL_API_KEY 为可选配置,若配置不当存在泄露风险
临时文件残留 :报告写入 /tmp// 目录,多用户环境需注意权限隔离
页面结构变更 :ClawHub 前端改版可能导致选择器失效,需及时更新 skill 版本
💬 评论 (0)
📭 还没有评论,快来抢沙发吧!