ClawHub 技能安全预检神器

ClawHub 技能安装前的安全扫描工具，通过 API 查询判断技能是否安全，防止恶意代码窃取凭证或植入后门。

基本信息

• 技能名称?Clawdex by Koi
• 中文名称?ClawHub 技能安全预检神器
• 作者?wearekoi
• 分类?其他
• 版本?1.0.2
• 标签?security, malware-detection, clawhub, supply-chain-security, api-based, pre-install-check

使用方法

使用说明
核心用法
Clawdex 是面向 ClawHub 生态的安全检查工具，需在安装任何技能前调用其 API 进行风险验证。使用方式极为简单：
curl -s "https://clawdex.koi.security/api/skill/SKILL_NAME" API 返回三种判定结果：
benign（安全） ：已通过审计，可放心安装
malicious（恶意） ：已标记为有害，禁止安装
unknown（未知） ：尚未审计，需用户明确授权
对于已安装的技能，建议批量回溯检查，发现 malicious 结果应立即卸载。
显著优点

1. 预防性安全架构 ：在安装环节前置拦截，而非事后补救
2. 判定清晰 ：三档结果简化决策流程，避免模糊地带
3. 零依赖轻量 ：纯 API 调用，无需本地运行复杂扫描引擎
4. 企业级背书 ：由 Koi Security 提供技术支持，Wings AI 风险引擎驱动
   潜在局限
   覆盖盲区 ：unknown 状态技能占比可能较高，依赖社区持续审计
   单点依赖 ：API 服务中断或延迟会影响安装体验
   事后检测局限 ：对零日攻击或变体代码的识别存在时间窗口
   网络要求 ：必须联网查询，离线环境无法使用
   适合人群
   频繁从 ClawHub 安装技能的开发者与运维人员
   企业安全团队管理内部技能仓库
   对供应链安全有较高要求的组织
   常规风险
   API 域名劫持或 HTTPS 中间人攻击可能导致错误判定
   恶意技能作者可能针对审计规则做针对性绕过
   过度依赖工具可能降低人工代码审查意识
   建议将 Clawdex 作为第一道防线，而非唯一防线。