定期进行Skills安全自查,防止供应链安全攻击
定期进行Skills安全自查,防止供应链安全攻击。
自查维度 |
检查内容 |
|---|---|
已安装技能审计 |
扫描已安装技能的恶意代码、可疑行为。 |
新技能安装前审查 |
来源验证、权限评估、代码扫描。 |
配置文件完整性 |
检查SOUL.md、AGENTS.md是否被篡改。 |
异常行为检测 |
监控网络连接、文件访问、命令执行。 |
安全评分跟踪 |
记录技能安全评分变化趋势。 |
操作步骤
- 在安装任何第三方技能前,可使用OpenClaw官方推荐的安全审计工具进行扫描,例如skill-vetter、security-audit、oc-security-hardener等。
- 在安装或更新任何技能后,务必运行深度安全审计命令。--deep标志会启用对技能代码的静态安全扫描。
openclaw security audit --deep
- 如果检测到问题,可尝试使用--fix选项进行自动修复。
openclaw security audit --fix
父主题: 供应链安全