المهارات SkillScan
🛡️

SkillScan

مخاطر منخفضة 🌐 الوصول إلى الشبكة📁 الوصول إلى نظام الملفات

掃描技能是否存在安全威脅

安裝未知技能可能導致惡意軟體、資料洩露和系統受損。SkillScan 會在安裝前自動檢測惡意程式碼,並阻止危險技能進入您的環境。

يدعم: Claude Codex Code(CC)
📊 70 كافٍ
1

تنزيل ZIP المهارة

2

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

3

فعّل وابدأ الاستخدام

اختبرها

استخدام "SkillScan". 掃描 ./my-new-skill/ 中的技能

النتيجة المتوقعة:

  • 掃描中:my-new-skill
  • dir_sha256: a3f2b8c9d4e5f6...
  • 結果:SAFE(置信度 94%)
  • 未檢測到威脅標籤
  • 建議:可安全安裝

استخدام "SkillScan". 掃描可疑的技能套件

النتيجة المتوقعة:

  • 掃描中:suspicious-helper
  • 結果:HIGH(置信度 87%)
  • 威脅標籤:network, credential_access, data_exfiltration
  • 發現:將 API 金鑰傳送到外部端點、讀取 .env 檔案
  • 此技能被安全掃描標記為 HIGH 風險。
  • 是否立即刪除此技能?[y/n]

التدقيق الأمني

مخاطر منخفضة
v1 • 4/2/2026

Static analyzer flagged 93 patterns but most are false positives. Network calls go to documented API (skillscan.tokauth.com) for cloud analysis - this is core functionality, not exfiltration. Crypto uses SHA256 (secure), temp files use standard tempfile module, and zip-slip protection is implemented. Risk limited to uploading user files to external server for analysis, which is disclosed functionality.

4
الملفات التي تم فحصها
1,155
الأسطر التي تم تحليلها
6
النتائج
1
إجمالي عمليات التدقيق
مشكلات متوسطة المخاطر (1)
scripts/scanner.py:420-466
Cloud API File Upload
Skill uploads entire skill directories to external API (skillscan.tokauth.com) for cloud analysis. Users should be aware their code is transmitted to third-party servers.
مشكلات منخفضة المخاطر (3)
scripts/scanner.py:24-27
Hardcoded API Endpoints
API URLs are hardcoded in source code. While currently pointing to legitimate endpoints, this pattern could be exploited if the domain is compromised.
scripts/scanner.py:28-29scripts/scanner.py:113-115
Environment Variable Access
Reads SKILL_SCANNER_UPDATE_URL environment variable and Windows APPDATA. This is documented and expected behavior for configuration.
scripts/scanner.py:151-214
Client Fingerprinting
Collects OS, platform, MAC address, and generates client ID for API requests. Used for analytics and rate limiting but users should be aware.

عوامل الخطر

🌐 الوصول إلى الشبكة (6)
scripts/scanner.py:24-27 scripts/scanner.py:246-256 scripts/scanner.py:400-417 scripts/scanner.py:452-466 scripts/scanner.py:473-506 SKILL.md:120-126
📁 الوصول إلى نظام الملفات (4)
scripts/scanner.py:320-342 scripts/scanner.py:624-627 scripts/scanner.py:675-677 scripts/scanner.py:871-873
تم تدقيقه بواسطة: claude

درجة الجودة

59
الهندسة المعمارية
100
قابلية الصيانة
87
المحتوى
27
المجتمع
79
الأمان
74
الامتثال للمواصفات

ماذا يمكنك بناءه

注重安全的開發者

在將來自 GitHub 或第三方來源的技能新增到 Claude Code 或 Codex 工作區前自動掃描,確保惡意程式碼不會進入您的開發環境。

企業 AI 管理員

在組織的技能審核工作流程中部署 SkillScan 作為強制閘道,防止員工安裝可能洩漏敏感程式碼或憑證的未審查技能。

技能市集管理員

將 SkillScan 整合到您的技能審核流程中,在發布到市集前驗證提交內容不含惡意軟體、憑證竊取和其他安全漏洞。

جرّب هذه الموجهات

基本技能掃描 
掃描 [path/to/skill] 中的技能是否存在安全問題,並告訴我是否安全可安裝。
批次掃描已安裝技能 
執行 SkillScan 的 scan-all 命令以檢查所有目前安裝的技能是否存在安全問題。
分析掃描結果 
SkillScan 將此技能標記為 MEDIUM 風險,威脅標籤為:[network, env_access]。請解釋這些標籤的含義以及我是否應該繼續安裝。
調查特定威脅 
掃描報告顯示發現 'credential access'。請搜尋 [path] 處的技能程式碼中與憑證相關的模式,並解釋這是惡意還是預期行為。

أفضل الممارسات

  • 在安裝來自不受信任來源(如 GitHub 儲存庫或第三方市集)的任何技能前,務必執行 SkillScan
  • 仔細審查 MEDIUM 風險發現——它們可能表示對技能用途可接受的行為,但需要您的判斷
  • 定期執行 scan-all 以審核現有技能,尤其是在 SkillScan 更新其檢測規則後

تجنب

  • 忽略 HIGH 或 CRITICAL 警告並仍然安裝被封鎖的技能——這些技能被封鎖是為了保護您
  • 假設 SAFE 裁決表示技能沒有錯誤——SkillScan 檢測惡意模式,而非一般程式碼品質
  • 在未先掃描的情況下從非官方來源安裝技能,即使受到信任社群推薦

الأسئلة المتكررة

SkillScan 能否離線運作?
不,SkillScan 需要網路連線。它使用 skillscan.tokauth.com 的雲端分析進行準確的威脅檢測。快取功能可減少先前已掃描技能的 API 呼叫,但初始掃描需要連線。
我的技能程式碼上傳後會發生什麼事?
您的技能程式碼會上傳至 SkillScan API 進行分析。程式碼會經過處理以檢測安全威脅,然後傳回結果。請查看 skillscan.tokauth.com 上的 SkillScan 隱私權政策以了解資料保留詳情。
我能否將 SkillScan 與 Claude Code、Codex 和其他 AI 工具一起使用?
是的,SkillScan 支援 Claude、Codex 和 Claude Code。它作為獨立 Python 腳本運作,由您的 AI 代理透過 bash 命令呼叫,使其與任何可執行 shell 命令的 AI 工具相容。
SkillScan 如何決定技能是 HIGH 還是 CRITICAL 風險?
雲端分析會評估檢測到的模式是否存在惡意意圖。HIGH 風險通常表示已確認的惡意模式,如憑證洩露。CRITICAL 表示多個危險模式組合,例如程式碼執行加上網路存取加上憑證竊取。
如果 SkillScan 無法連線到 API 該怎麼辦?
連線失敗可能表示網路問題或 API 停機。SkillScan 會報告錯誤。對於緊急需求,您可以執行手動程式碼審查或等待連線恢復。在決定是否繼續時,請考慮技能來源的信譽。
SkillScan 會減緩技能安裝速度嗎?
初始掃描需要 20-60 秒,具體時間取決於技能大小和 API 回應時間。然而,SkillScan 使用 SHA256 雜湊快取結果,因此重新掃描相同技能是即時的。對於新技能,安全效益超過短暫延遲。

تفاصيل المطور

المؤلف

tokauth

الترخيص

MIT

المستودع

https://github.com/tokauth/SkillScan/tree/main/

مرجع

main

بنية الملفات

📁 scripts/

📄 scanner.py

📄 _meta.json

📄 README.md

📄 SKILL.md