ClawHub 技能安全预检工具

CrawSecure 是 ClawHub 生态的离线安全扫描技能，帮助用户在安装前检测第三方技能风险，零代码执行、纯只读分析。

基本信息

• 技能名称?crawsecure
• 中文名称?ClawHub 技能安全预检工具
• 作者?diogopaesdev
• 分类?开发
• 版本?v2.0.1
• 标签?security, development-engineering, testing, automation, docs

使用方法

使用说明
核心用法
CrawSecure 是一款面向 ClawHub / OpenClaw 生态的离线安全分析工具，采用"文档引导 + 外部 CLI"的混合模式运作。用户通过阅读 SKILL.md 了解安全风险识别方法，随后手动执行 npx crawsecure ./path-to-skill 命令调用独立的安全扫描工具。该技能本身不执行任何代码，仅提供安全理念教育和使用指引，真正的扫描工作由用户自主控制的 npx 命令完成。
显著优点
极致安全设计 ：遵循"只读分析、无网络访问、无代码执行、无文件修改"四大安全原则，从根本上杜绝了技能本身成为攻击载体的可能。 透明可审计 ：纯 Markdown 文档结构，内容完全公开可查，用户可逐行审查其安全声明。 生态价值独特 ：填补了 ClawHub 第三方技能安装前的安全评估空白，提升整个生态的信任度。 零依赖负担 ：无动态代码加载、无远程脚本获取、无复杂依赖链，避免了供应链攻击风险。 教育意义 ：不仅是工具，更是安全意识培养材料，帮助用户建立风险识别能力。
潜在缺点与局限性
手动操作门槛 ：需要用户主动运行 npx 命令，无法自动化集成到安装流程中，对非技术用户不够友好。 功能边界模糊 ：技能本身与外部 CLI 工具的职责划分需用户自行理解，可能产生"安装 skill 即可获得保护"的误解。 T3 来源限制 ：个人开发者账号发布，缺乏组织背书，在企业合规场景中接受度有限。 扫描能力未知 ：文档未披露具体检测规则、覆盖范围或误报率，实际效果依赖外部工具实现。 生态依赖性强 ：价值完全绑定 ClawHub/OpenClaw 生态，通用性不足。
适合的目标群体
技术型 ClawHub 用户 ：具备命令行操作能力，重视第三方代码安全的开发者。 安全研究人员 ：需要分析技能安全模式、研究生态风险的研究者。 企业安全团队 ：评估内部技能引入风险的安全工程师（需接受 T3 来源）。 开源贡献者 ：希望为 ClawHub 生态安全建设出力的社区成员。
使用风险
npx 供应链风险 ：实际扫描依赖 crawsecure npm 包，需自行验证包来源和完整性。 认知偏差风险 ：用户可能误以为安装 skill 即获得保护，忽视手动执行步骤。 覆盖盲区风险 ：文档未明确说明检测规则，高危模式可能漏检。 更新滞后风险 ：个人维护项目，安全规则更新频率不确定。