catalog/repos/agentnode-dev--skills-security-audit.md

# AI技能安全审计工具

`安全审计` `AI代理` `恶意检测` `OWASP` `提示注入` `MCP安全`

# 技能安全审计

**在恶意 AI 代理技能危害你的系统之前，提前发现它们。**

一款跨平台安全审计技能，用于扫描第三方 AI 代理技能、插件和工具定义中的安全漏洞。基于 AI 语义分析，涵盖 9 大风险类别的 61 种检测模式，与 [OWASP Agentic AI Top 10](https://owasp.org/www-project-agentic-ai-threats/) 对齐。零依赖——在任何支持 AI 代理技能的平台上均可运行。

---

## 为什么需要它

AI 代理技能生态存在安全隐患。第三方技能以你的代理的完整权限运行，而市场平台的审核力度十分有限：

- **Snyk ToxicSkills** —— ClawHub 上 36.82% 的 MCP 服务器至少存在一个漏洞
- **SlowMist** —— 已识别出 472 余个恶意 MCP 服务器，涉及真实的凭据窃取和数据外泄
- **Koi Security ClawHavoc** —— 在扫描的 2857 个服务器中发现了 341 个恶意服务器

技能可以读取你的 SSH 密钥、窃取环境变量、安装持久性后门，以及注入提示词来覆盖代理的安全护栏。一个恶意技能就能危及一切。

---

## 检测内容

涵盖 9 大类别的 61 种检测模式：

| ID | 类别 | 严重程度 | OWASP ASI | 模式 |
|----|------|----------|-----------|------|
| PI | 提示注入 | 严重 | ASI01 | PI-001 至 PI-008 |
| DE | 数据外泄 | 严重 | ASI02 | DE-001 至 DE-009 |
| CE | 恶意命令执行 | 严重 | ASI02, ASI05 | CE-001 至 CE-010 |
| OB | 混淆/隐藏代码 | 警告 | -- | OB-001 至 OB-007 |
| PA | 权限过度申请 | 警告 | ASI03 | PA-001 至 PA-005 |
| SC | 供应链风险 | 警告 | ASI04 | SC-001 至 SC-006 |
| MP | 记忆/上下文投毒 | 警告 | ASI06 | MP-001 至 MP-005 |
| TE | 人类信任利用 | 警告 | ASI09 | TE-001 至 TE-006 |
| BM | 行为操控 | 信息 | ASI10 | BM-001 至 BM-005 |

每条模式均包含恶意示例、危险说明及误报指导。完整规则集见 [`skills/skills-security-audit/references/security-rules.md`](skills/skills-security-audit/references/security-rules.md)。

---

## 快速开始

### 方式 A：Claude Code 插件（推荐 Claude Code 用户使用）

```bash
# 添加市场并安装
/plugin marketplace add https://github.com/agentnode-dev/skills-security-audit.git
/plugin install skills-security-audit@agentnode-dev
```

然后重启 Claude Code。该技能将出现在你的可用技能列表中，并在相关场景下自动触发。

### 方式 B：复制到任意 AI 代理

克隆仓库并将目录指向你的 AI 代理：

```bash
git clone https://github.com/agentnode-dev/skills-security-audit.git
```

然后告诉你的代理：

```
加载位于 /path/to/skills-security-audit/skills/skills-security-audit/SKILL.md 的技能，并审计位于 /path/to/suspicious-skill/ 的技能
```

### 方式 C：粘贴到任意对话

将 [`skills/skills-security-audit/SKILL.md`](skills/skills-security-audit/SKILL.md) 的内容复制到你的 AI 代理的系统提示词或对话中，然后让它审计某个技能。适用于任何 AI 代理——无需安装。

### 使用方式

加载后，向你的代理发出指令：

```
审计位于 /path/to/suspicious-skill/ 的技能
```

或扫描所有已安装的技能：

```
扫描我所有已安装的技能，检查安全问题
```

---

## 工作原理

这是一个**纯技能**——一个指导任何 AI 代理执行安全审计的 Markdown 文件。无需安装代码，无需配置运行时。

### 阶段一：确定扫描范围

技能从你指定的路径、GitHub URL 或平台已安装技能目录中识别目标文件（`.md`、`.json`、`.js`、`.py`、`.sh`、`.ts`、`.yaml`、`.yml`）。

### 阶段二：逐文件分析

AI 代理读取每个文件，并利用语义分析将其内容与全部 61 种检测模式进行比对。与基于正则的工具不同，这种方式能识别混淆、改写和新型攻击模式，因为 AI 理解的是意图，而非字符串本身。

### 阶段三：生成报告

输出包含严重程度评级、证据引用（文件路径和行号）及每条发现可操作修复建议的结构化报告。

---

## 风险评分

每条发现将计入风险分数：

| 发现严重程度 | 分值 |
|-------------|------|
| 严重 | +2.0 |
| 警告 | +0.8 |
| 信息 | +0.2 |

**风险等级**（满分 10.0）：

| 分数 | 等级 | 建议操作 |
|------|------|----------|
| 0.0 -- 2.0 | **安全** | 未发现显著风险 |
| 2.1 -- 5.0 | **有风险** | 建议使用前人工审查 |
| 5.1 -- 8.0 | **危险** | 请勿安装 |
| 8.1 -- 10.0 | **恶意** | 确认存在恶意意图——请向市场举报 |

---

## 平台支持

本技能为纯 Markdown 格式——任何能读取文件或接受粘贴指令的 AI 代理均可使用。

**原生技能加载**（代理直接读取 SKILL.md）：
- Claude Code（通过插件安装或本地文件）
- Cursor（通过 `.cursorrules` 或项目上下文）
- Windsurf（通过项目上下文）
- OpenClaw / ClawHub

**复制粘贴**（将 SKILL.md 内容粘贴到对话中）：
- ChatGPT、Gemini、OpenAI Agents 或任何 LLM 聊天界面

---

## 参考来源

本技能的检测模式基于真实世界威胁情报：

- **[SlowMist](https://slowmist.com/)** —— 对 ClawHub 上 472 余个恶意 MCP 服务器的分析，包括两阶段载荷加载、文件收集和平台中继技术
- **[Snyk ToxicSkills](https://snyk.io/)** —— 研究发现 ClawHub MCP 服务器中 36.82% 的漏洞率
- **[Koi Security ClawHavoc](https://koisecurity.com/)** —— 在 2857 个扫描服务器中发现 341 个恶意服务器
- **[OWASP Agentic AI Top 10](https://owasp.org/www-project-agentic-ai-threats/)** —— 代理 AI 安全风险分类框架（ASI01 至 ASI10）

---

## 参与贡献

欢迎贡献。添加新检测模式的步骤：

1. 按照现有格式将规则添加到 `skills/skills-security-audit/references/security-rules.md`（包括模式、恶意示例、危险说明及误报指导）
2. 同步更新 `security-rules.md` 和 `SKILL.md` 中的摘要表（均位于 `skills/skills-security-audit/` 目录下）
3. 提交 Pull Request，并说明新模式所针对的威胁

---

## 许可证

MIT