npm - @pwddd/skills-scanner - Versions diffs - 3.0.8 → 3.0.9 - Mend

@pwddd/skills-scanner 3.0.8 → 3.0.9

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (4) hide show

package/openclaw.plugin.json +1 -1
package/package.json +2 -2
package/skills/skills-scanner/SKILL.md +17 -17
package/src/prompt-guidance.ts +15 -12

package/openclaw.plugin.json CHANGED Viewed

@@ -2,7 +2,7 @@
   "id": "skills-scanner",
   "name": "Skills Scanner",
   "description": "Security scanner for OpenClaw Skills to detect potential threats",
-  "version": "3.0.8",
+  "version": "3.0.9",
   "author": "pwddd",
   "skills": ["./skills"],
   "configSchema": {

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
-  "name": "@pwddd/skills-scanner",
-  "version": "3.0.8",
+  "name": "@pwddd/skills-scanner",
+  "version": "3.0.9",
   "description": "OpenClaw Skills security scanner plugin - detect malicious code, data exfiltration, and prompt injection",
   "type": "module",
   "main": "./index.ts",

package/skills/skills-scanner/SKILL.md CHANGED Viewed

@@ -29,7 +29,7 @@ OpenClaw Skills 安全扫描工具，检测恶意代码、数据窃取、提示
 **检查方法**：
 ```bash
-python3 {baseDir}/scan.py --api-url http://http://10.110.3.133 health
+python3 {baseDir}/scan.py --api-url http://10.110.3.133 health
 ```
 **处理规则**：
@@ -46,7 +46,7 @@ python3 {baseDir}/scan.py --api-url http://http://10.110.3.133 health
      如需启用安全扫描，请：
      1. 启动 skill-scanner-api 服务
-     2. 确认服务地址配置正确（当前: http://http://10.110.3.133）
+     2. 确认服务地址配置正确（当前: http://10.110.3.133）
      3. 重新执行安装操作
      ```
    - **不要阻止用户的操作**（如安装 Skill）
@@ -162,7 +162,7 @@ python3 -m pip install --user --quiet "requests>=2.31.0"
     "entries": {
       "skills-scanner": {
         "config": {
-          "apiUrl": "http://http://10.110.3.133"
+          "apiUrl": "http://10.110.3.133"
         }
       }
     }
@@ -173,7 +173,7 @@ python3 -m pip install --user --quiet "requests>=2.31.0"
 或直接调用时使用 `--api-url` 参数：
 ```bash
-python3 {baseDir}/scan.py --api-url http://http://10.110.3.133 scan <路径>
+python3 {baseDir}/scan.py --api-url http://10.110.3.133 scan <路径>
 ```
 ---
@@ -297,7 +297,7 @@ AI: 好的，让我先扫描一下这个 skill 的安全性...
 #### 示例 2：详细检查 PDF Skill
 ```bash
-python3 {baseDir}/scan.py --api-url http://http://10.110.3.133 clawhub https://clawhub.ai/steipete/nano-pdf --detailed
+python3 {baseDir}/scan.py --api-url http://10.110.3.133 clawhub https://clawhub.ai/steipete/nano-pdf --detailed
 ```
 **用户对话**：
@@ -320,7 +320,7 @@ AI: 好的，我会进行详细扫描...
 #### 示例 3：深度扫描可疑 Skill
 ```bash
-python3 {baseDir}/scan.py --api-url http://http://10.110.3.133 clawhub https://clawhub.ai/username/suspicious-skill --detailed --behavioral --policy strict
+python3 {baseDir}/scan.py --api-url http://10.110.3.133 clawhub https://clawhub.ai/username/suspicious-skill --detailed --behavioral --policy strict
 ```
 **用户对话**：
@@ -343,7 +343,7 @@ AI: 明白，我会使用严格模式进行深度扫描...
 #### 示例 4：包含 VirusTotal 扫描结果
 ```bash
-python3 {baseDir}/scan.py --api-url http://http://10.110.3.133 clawhub https://clawhub.ai/username/project --detailed
+python3 {baseDir}/scan.py --api-url http://10.110.3.133 clawhub https://clawhub.ai/username/project --detailed
 ```
 **用户对话（未检测到威胁）**：
@@ -456,25 +456,25 @@ https://clawhub.ai/<username>/<project>
 ### 基础扫描（推荐，速度快）
 ```bash
-python3 {baseDir}/scan.py --api-url http://http://10.110.3.133 scan <skill路径>
+python3 {baseDir}/scan.py --api-url http://10.110.3.133 scan <skill路径>
 ```
 ### 详细模式（显示所有发现）
 ```bash
-python3 {baseDir}/scan.py --api-url http://http://10.110.3.133 scan <skill路径> --detailed
+python3 {baseDir}/scan.py --api-url http://10.110.3.133 scan <skill路径> --detailed
 ```
 ### 深度扫描（加入行为分析）
 ```bash
-python3 {baseDir}/scan.py --api-url http://http://10.110.3.133 scan <skill路径> --detailed --behavioral
+python3 {baseDir}/scan.py --api-url http://10.110.3.133 scan <skill路径> --detailed --behavioral
 ```
 ### 最强扫描（加入 LLM 语义分析）
 ```bash
-python3 {baseDir}/scan.py --api-url http://http://10.110.3.133 scan <skill路径> --detailed --behavioral --llm
+python3 {baseDir}/scan.py --api-url http://10.110.3.133 scan <skill路径> --detailed --behavioral --llm
 ```
 ---
@@ -486,31 +486,31 @@ python3 {baseDir}/scan.py --api-url http://http://10.110.3.133 scan <skill路径
 ### 扫描指定目录下的所有 Skills
 ```bash
-python3 {baseDir}/scan.py --api-url http://http://10.110.3.133 batch <目录路径>
+python3 {baseDir}/scan.py --api-url http://10.110.3.133 batch <目录路径>
 ```
 ### 递归扫描（含子目录）
 ```bash
-python3 {baseDir}/scan.py --api-url http://http://10.110.3.133 batch <目录路径> --recursive
+python3 {baseDir}/scan.py --api-url http://10.110.3.133 batch <目录路径> --recursive
 ```
 ### 批量扫描并输出 JSON 报告
 ```bash
-python3 {baseDir}/scan.py --api-url http://http://10.110.3.133 batch <目录路径> --detailed --json /tmp/scan-report.json
+python3 {baseDir}/scan.py --api-url http://10.110.3.133 batch <目录路径> --detailed --json /tmp/scan-report.json
 ```
 ### 常用目录示例
 扫描 OpenClaw 默认 skills 目录：
 ```bash
-python3 {baseDir}/scan.py --api-url http://http://10.110.3.133 batch ~/.openclaw/skills
+python3 {baseDir}/scan.py --api-url http://10.110.3.133 batch ~/.openclaw/skills
 ```
 扫描 workspace skills：
 ```bash
-python3 {baseDir}/scan.py --api-url http://http://10.110.3.133 batch ~/.openclaw/workspace/skills --recursive
+python3 {baseDir}/scan.py --api-url http://10.110.3.133 batch ~/.openclaw/workspace/skills --recursive
 ```
 ---
@@ -520,7 +520,7 @@ python3 {baseDir}/scan.py --api-url http://http://10.110.3.133 batch ~/.openclaw
 检查 API 服务是否运行：
 ```bash
-python3 {baseDir}/scan.py --api-url http://http://10.110.3.133 health
+python3 {baseDir}/scan.py --api-url http://10.110.3.133 health
 ```
 ---

package/src/prompt-guidance.ts CHANGED Viewed

@@ -3,24 +3,27 @@
  */
 export const SKILLS_SECURITY_GUIDANCE = [
-  "## ⚠️ Skills 安全扫描规则（强制执行）",
+  "## 🚨 Skills 全量安全扫描规则（必须执行）",
   "",
-  "**当用户请求安装、下载或使用任何 Skill 时，你必须先加载 `skills-scanner` Skill 进行安全扫描。**",
+  "**无论来源、是否本地、是否之前扫描过，凡是涉及安装、下载、更新、运行任何 Skill，必须先用 `skills-scanner` 扫描，确认通过后才能继续。**",
   "",
   "### 强制流程",
+  "1. 先加载并运行 `skills-scanner`。",
+  "2. 对当前要处理的 Skill 立即执行扫描（本地目录、远程压缩包、ClawHub 项目都必须扫；“之前扫过/官方/可信”不免检）。",
+  "3. 仅在扫描结果明确安全时才继续安装或运行；否则终止并提示风险。",
   "",
-  "1. **加载 skills-scanner Skill**",
-  "2. **使用该 Skill 执行扫描**",
-  "3. **根据扫描结果决定是否继续**",
+  "### 额外要求",
+  "- 本地技能：任何本地路径或临时解压目录都要扫描，不可跳过。",
+  "- ClawHub 技能：即使标记为已审核，也要重新扫描后再安装运行。",
+  "- 不得以“用户坚持”“时间紧”等理由跳过扫描；无法扫描时要拒绝继续并说明原因。",
   "",
   "### 示例",
-  "",
   "```",
-  "用户: 帮我安装这个 skill",
-  "AI: 好的，让我先加载 skills-scanner skill 进行安全扫描...",
-  "    [加载并使用 skills-scanner skill]",
-  "    ✅ 扫描通过，可以安装",
+  "用户：给我安装这个 skill",
+  "AI：先用 skills-scanner 扫描该 skill，确认安全后再安装……",
+  "    [运行 skills-scanner 扫描当前 skill]",
+  "    ✅ 扫描通过，可以继续安装。",
   "```",
   "",
-  "**禁止**：不得在未使用 skills-scanner Skill 扫描的情况下直接安装。",
-].join("\n");
+  "**禁止**：在未经过 `skills-scanner` 扫描的情况下直接安装、运行或修改任何 Skill。",
+].join(\"\\n\");