分类 开发 下的文章

AIclude 出品的 AI 安全扫描工具,7 大引擎检测 MCP 与 Agent 漏洞,支持离线扫描,保障供应链安全。

基本信息

  • 技能名称?aiclude-vulns-scan
  • 中文名称?AI 智能体安全漏洞扫描专家
  • 作者?mastergear4824
  • 分类?开发
  • 版本?v3.0.0
  • 标签?security, vulnerability, scanner, mcp, ai-agent, testing, devops, automation, backend

使用方法

使用说明
AICLUDE Vulnerability Scanner 是由 AIclude Inc. 开发的专业安全漏洞扫描工具,专为 MCP 服务器和 AI Agent Skills 的安全审计而设计。该工具集成了 7 个并行运行的检测引擎,能够全面识别提示注入、工具投毒、命令注入、供应链攻击、恶意软件及权限滥用等安全风险。
核心用法上,工具提供两种工作模式:基于名称的在线查询模式和本地离线扫描模式。在线模式通过向 AIclude 数据库查询已有扫描结果,仅需发送包名而不上传源代码;本地模式则直接读取指定目录文件,在完全离线的环境下运行所有检测引擎,适合敏感代码的安全审查。用户可通过 /security-scan 命令配合 --name 参数进行在线查询,或直接指定本地路径执行离线扫描,支持 Markdown 和 JSON 两种输出格式。
显著优点包括:首先,作为纯文档型 Skill,其本身不包含任何可执行脚本,不存在代码执行风险,安全评级达到 A 级;其次,隐私保护设计出色,本地扫描模式零网络传输,在线模式也仅传输包名元数据,不会泄露源代码;再者,检测维度全面,覆盖 SAST 静态分析、SCA 依赖检查、工具定义分析、DAST 参数模糊测试、权限检查、行为监控和恶意软件检测等 7 大引擎;最后,输出专业且具备可操作性,提供从 CRITICAL 到 INFO 的五级风险评级及详细的修复建议。
潜在局限性在于:当前来源可信度为 T3 级别(个人 GitHub 账号),虽属公司开发但缺乏官方组织认证,存在供应链信任风险;作为配置文档型 Skill,实际扫描功能需依赖配套的 MCP Server 或 CLI 工具执行,本身不直接执行扫描;在线查询模式依赖 AIclude 云端服务,对于未收录的包需要等待扫描完成,且数据库覆盖范围可能有限。
适合的目标群体包括:MCP 服务器开发者、AI Agent 构建者、企业安全审计人员以及关注 AI 供应链安全的开发团队。特别适合在引入第三方 MCP 服务器或 Skills 前进行安全预检,也适用于持续集成流程中的自动化安全检测。
使用风险方面,虽然 Skill 本身为纯文档型资产,安全等级为 A 且无代码执行风险,但用户应注意供应链来源风险(T3 级别)。建议优先使用本地离线扫描模式处理敏感代码,避免依赖外部服务。此外,扫描结果基于规则引擎和特征匹配,可能存在误报或漏报,不应替代专业的渗透测试或完整的安全审计服务。

源自OpenHarmony SIG官方文档的React Native性能静态检查技能,提供渲染优化、Bundle构建等关键规则,助力开发者构建高性能鸿蒙应用。

基本信息

  • 技能名称?ohos-react-native-performance
  • 中文名称?鸿蒙RN应用性能优化专家
  • 作者?code-sunbo
  • 分类?开发
  • 版本?v1.0.0
  • 标签?react, mobile, development-engineering, testing, openharmony

使用方法

使用说明
核心用法
本技能专为 OpenHarmony 平台的 React Native(RNOH)开发提供性能优化的静态检查规则。开发者可在编写或审查代码时,依据文档中定义的规则前缀(如 rnoh-render-、rnoh-bundle- 等)进行代码质量检查。涵盖的关键领域包括:React 渲染优化(避免重复渲染、合并 setState、使用 PureComponent)、Bundle 构建配置(Hermes 字节码、Release 模式)、RNAbility 生命周期管理(onForeground/onBackground 调用时机)以及 TurboModule 的 Worker 线程配置。通过将这些规则集成到代码审查流程或静态分析脚本中,开发团队可以系统性提升应用性能。
显著优点
首先,内容权威性极高。该技能直接源自 OpenHarmony SIG 官方维护的 ohos_react_native 性能优化文档,确保了技术建议的准确性和与最新平台特性的同步。其次,覆盖维度全面,从关键的渲染优化(CRITICAL 优先级)到 Bundle 构建、原生配置、生命周期管理,再到 TurboModule 和列表优化,形成了完整的性能优化知识体系。第三,作为纯文档型技能,它零依赖、零配置即可使用,不产生任何运行时开销,也不会引入额外的安全风险。最后,规则分类清晰,通过优先级(CRITICAL/HIGH/MEDIUM)和前缀命名规范,便于开发团队按需采纳和自动化集成。
潜在缺点与局限性
主要局限在于平台特异性。该技能仅适用于 OpenHarmony 的 React Native 开发(RNOH),无法直接应用于标准 React Native(iOS/Android)或其他跨平台框架。其次,根据描述,技能内容目前为英文-only(虽然提供了中文文档链接),可能对部分中文开发者造成阅读障碍。此外,作为静态文档,它不提供自动化的代码扫描工具或 IDE 插件,需要开发者手动对照规则进行检查,效率相对较低。最后,某些优化建议(如 TurboModule 的 Worker 线程配置)需要开发者具备较深的原生开发知识,对纯前端开发者有一定门槛。
适合的目标群体
本技能最适合以下开发者:OpenHarmony React Native 应用开发者,特别是在进行性能调优和代码审查阶段;负责 RNOH 项目架构的技术负责人,需要制定团队代码规范;以及希望深入理解鸿蒙端 React Native 性能特性的前端工程师。同时,参与 OpenHarmony 生态建设的开源贡献者,以及需要将现有 React Native 应用迁移到 OpenHarmony 平台的开发团队,也能从中获得关键的性能优化指导。
使用风险
尽管本技能本身为纯文档资产,安全风险极低,但在实际应用中仍需注意:首先,过度优化可能导致代码可读性下降,如过度使用 React.memo 或过度拆分组件可能增加维护成本。其次,某些规则(如 BiSheng 编译器使用)属于实验性或可选优化,需根据具体硬件环境测试验证,盲目应用可能引入兼容性问题。最后,开发者需确保理解 OpenHarmony 与传统 React Native 在架构上的差异(如 RNAbility、TurboModule 实现),错误应用生命周期或线程规则可能导致应用崩溃或性能倒退。建议结合实际的 Trace 分析和 React Marker 性能监控数据,验证优化效果。

基于 Monad 测试网的 AI wellness 代理发行工具,支持开发者通过 x402 协议支付 $NUDGE 代币快速上架智能体,触达健康领域用户。

基本信息

  • 技能名称?nudge-marketplace
  • 中文名称?AI wellness 代理发行与管理
  • 作者?Unknown
  • 分类?开发
  • 版本?latest
  • 标签?wellness, productivity, blockchain, api, marketplace, web3, monetization, content-media

使用方法

使用说明
Nudge Marketplace Skill 是一套面向 AI 开发者的文档型工具集,旨在帮助开发者将自定义 AI 代理快速发布至 Nudge 这一 AI-native wellness 平台。该 Skill 并非可执行程序,而是以结构化文档形式提供了完整的 API 接口规范、x402 支付协议集成示例以及区块链交互代码模板,使开发者能够通过标准化的三步流程(获取支付要求-支付 $NUDGE 代币-提交支付证明)完成代理上架。
核心用法 方面,开发者首先通过 GET 请求获取市场已有代理列表,随后使用 POST /api/marketplace/submit 端点提交代理信息。该流程遵循 x402 支付协议:首次提交会返回 402 Payment Required 状态,提示支付 0.10 美元等值的 $NUDGE 代币至指定合约地址;完成 Monad 测试网(Chain ID: 10143)上的代币转账后,开发者需再次提交并附上交易哈希作为支付证明,系统验证通过后代理即刻上线。Skill 提供了完整的 TypeScript/viem 代码示例,涵盖钱包创建、代币转账构造和二次提交的全流程。
显著优点 包括:其一,采用标准化的 x402 支付协议,为 AI 服务的货币化提供了清晰的区块链支付范式;其二,垂直聚焦于 wellness、productivity、lifestyle 等领域,帮助开发者精准触达健康科技用户群体;其三,支持免费和按消息付费两种模式,为创作者提供了灵活的盈利选择;其四,基于 Monad 测试网,交易确认速度快且 Gas 成本极低,适合快速迭代验证。
潜在缺点与局限性 亦不容忽视:首先,该 Skill 为纯文档型资产,不提供自动化部署或 CLI 工具,所有操作需开发者手动执行 curl 命令或复制代码;其次,依赖 Monad 测试网的 $NUDGE 代币,开发者需先获取测试代币,且测试网环境可能面临网络重置或合约升级风险;第三,代码示例要求硬编码或环境变量传入私钥,对不熟悉区块链安全实践的开发者存在私钥泄露隐患;第四,目前仅支持特定分类(wellness/productivity/lifestyle/entertainment),技术类或通用型 AI 代理可能不适合该平台。
适合的目标群体 主要包括:希望进入 wellness/health 垂直领域的 AI 开发者;熟悉或希望学习 x402 支付协议和区块链集成的工程师;拥有成熟 AI 对话能力但缺乏分发渠道的个人开发者或小团队;以及希望通过代币经济模型 monetize AI 服务的创作者。对于完全不具备区块链背景的传统 AI 开发者,需先补充 Web3 钱包管理和测试网交互的基础知识。
使用风险 方面,除区块链操作固有的私钥管理风险外,还需注意:网络配置风险——必须严格确认使用 Monad Testnet(Chain ID: 10143),误将交易发送至主网或其他测试网可能导致资产损失;合约交互风险——需自行验证 $NUDGE 代币合约地址和平台收款地址的真实性,防范钓鱼合约;经济模型风险——当前处于测试网阶段,代币无实际价值,但迁移至主网后需考虑价格波动和 Gas 成本;以及依赖项风险——示例代码依赖 viem 等第三方库,版本迭代可能导致 API 不兼容。

基于 Python 标准库构建的轻量级安全扫描工具,通过静态模式匹配快速识别代码中的危险命令、密钥泄露等风险,在代码执行前提供可靠的安全预检保障。

基本信息

  • 技能名称?openclaw-policy-check
  • 中文名称?轻量级代码安全预检专家
  • 作者?spbavarva
  • 分类?开发
  • 版本?v1.0.0
  • 标签?security, testing, development-engineering, devops, automation, backend

使用方法

使用说明
OpenClaw Policy Check 是一款专注于代码安全预检的轻量级扫描工具,旨在帮助开发者在执行代码前快速识别潜在的安全风险。该工具通过 Python 脚本对指定目录或文件进行静态模式匹配分析,能够检测出危险的 shell 命令、硬编码密钥、敏感信息泄露等常见安全漏洞。
核心用法 方面,用户通过命令行指定目标路径 target_path ,工具将递归扫描目录中的文本文件,使用正则表达式匹配预定义的风险模式。支持 --json 参数输出结构化结果,便于集成到 CI/CD 流水线; --fail-on 参数可设置严重性阈值(critical/high/medium/low),当检测到超过阈值的问题时返回非零退出码,实现自动化门禁控制。扫描完成后,工具会提供详细的文件路径、行号、规则 ID 及修复建议,并优先展示 critical 和 high 级别的发现项。
显著优点 体现在多个维度:首先,工具仅依赖 Python 标准库(argparse、re、pathlib 等),零外部 pip 依赖,从根本上避免了供应链攻击风险;其次,采用纯只读设计,扫描过程不修改、不删除任何文件,确保数据绝对安全;再者,内置完善的边界检查机制,包括文件大小限制(>1MB 自动跳过)、敏感目录过滤(.git、node_modules 等)和路径存在性验证;最后,所有数据处理均在本地完成,无网络通信,彻底杜绝数据泄露风险,且错误处理机制完善,不会暴露敏感系统信息。
潜在缺点与局限性 不容忽视:作为基于正则的模式匹配工具,它无法进行深度语义分析,难以检测复杂的代码混淆、逻辑漏洞或二进制文件风险;对于零日漏洞或新型攻击模式,依赖固定的规则库可能产生漏报;此外,正则匹配可能产生误报,需要人工复核确认;当前来源为个人开发者账号(T3),虽代码经过安全审计,但长期维护和更新稳定性仍需观察,且缺乏数字签名机制。
适合的目标群体 主要包括:需要在提交前进行安全预检的开发者、构建自动化安全门禁的 DevOps 工程师、审查第三方代码的安全审计人员,以及希望在 CI/CD 流程中集成轻量级安全检查的团队。特别适合对安全性有基础要求但不需要商业级 SAST(静态应用安全测试)工具复杂度的场景,也可用于快速可疑代码分类和临时安全抽查。
使用风险 方面,性能上对大文件自动跳过可能影响完整覆盖;规则集的局限性意味着不能替代专业安全审计;作为本地工具,其扫描结果依赖执行环境的文件系统权限;建议在使用前根据项目特点自定义 RULES 列表,并定期更新检测规则以应对新出现的风险模式。此外,虽然工具本身安全,但用户仍需确保从可信渠道获取脚本,防止在传输过程中被篡改。

GizmoLab 官方区块链开发工具集,提供以太坊/Solana 链上交互、代币操作及 Web3 UI 组件,助力开发者快速构建 dApp。

基本信息

  • 技能名称?gizmolab-tools
  • 中文名称?一站式 Web3 开发工具箱
  • 作者?gizmo-dev
  • 分类?开发
  • 版本?v1.0.0
  • 标签?development-engineering, blockchain, web3, frontend, api, productivity

使用方法

使用说明
核心用法
GizmoLab Tools 是一套面向区块链开发者的综合性工具与组件库,分为两大板块:在线工具集(tools.gizmolab.io)和 Web3 UI 组件库(ui.gizmolab.io)。用户通过 browser 工具访问这些在线服务,完成智能合约交互、交易解码、ENS 解析、代币创建等操作。
以太坊工具链 涵盖 Contracts UI(任意合约读写)、Transaction Decoder(原始交易数据解析)、ENS Lookup(域名与地址双向解析)以及 Burner Wallet(临时测试钱包)。 Solana 工具链 支持 SPL 代币创建、铸造、持有者快照及 Jupiter 聚合交易。 UI 组件库 则提供即插即用的 React 组件,包括 Gasless NFT 铸造、跨链桥接 LiFi Widget、预测市场 Polymarket Widget 等,基于 Next.js 14 + Shadcn UI + Wagmi 技术栈构建。
显著优点

  1. 零成本入门 :所有工具免费开放,无需注册或 API Key,降低 Web3 开发门槛。
  2. 多链覆盖 :支持以太坊主网及 Goerli、Sepolia、Base、Polygon、Arbitrum 等 9 条 EVM 链,Solana 主网与 Devnet 双环境。
  3. 即拿即用 :UI 组件提供完整代码片段与安装指南,复制即可集成到现有项目。
  4. 安全提示充分 :Burner Wallet 明确标注"仅用于测试,切勿存放真实资金",风险告知到位。
  5. 技术栈现代 :采用 Account Abstraction(账户抽象)、Viem 等前沿方案,支持无 Gas 交易场景。
    潜在缺点与局限性
  6. 依赖外部服务 :所有功能需联网访问 GizmoLab 托管站点,无法离线使用,存在单点故障风险。
  7. 第三方信任假设 :用户需自行评估 tools.gizmolab.io 和 ui.gizmolab.io 的安全性,Skill 本身不对这些站点的代码进行审计。
  8. 功能边界模糊 :部分工具(如 Solana Token Create)涉及真实链上交易,Skill 仅提供操作指引,无法替用户拦截误操作。
  9. 无高级定制 :预设组件样式固定,深度定制需联系官方(Calendly 预约),灵活性受限。
  10. 来源可信度一般 :Skill 托管于个人 GitHub 账号,非 GizmoLab 官方组织直接维护。
    适合的目标群体
    Web3 开发初学者 :需要可视化工具理解合约交互、交易结构等概念。
    快速原型开发者 :希望 1 小时内搭建 NFT 铸造页面或代币交易界面的独立开发者。
    多链 dApp 团队 :需要同时支持以太坊与 Solana 的统一工具集,减少环境切换成本。
    教育/培训场景 :区块链课程讲师用于课堂演示 ENS 解析、交易解码等基础操作。
    使用风险
  11. 钓鱼网站风险 :Skill 引导访问外部域名,用户需手动核对 URL 正确性,防范 DNS 劫持或相似域名诈骗。
  12. 钱包安全 :连接 Phantom/Solflare 或 MetaMask 时,需仔细审查交易签名内容,避免恶意合约授权。
  13. 测试资金误用 :Burner Wallet 生成的私钥仅存在于浏览器内存,刷新即丢失,误用于主网将导致资产永久损失。
  14. 组件依赖更新 :UI 组件依赖 Wagmi/Viem 等快速迭代的库,版本不兼容可能导致构建失败。
  15. 服务可用性 :GizmoLab 为免费服务,无 SLA 保障,高峰期可能出现响应延迟或功能降级。