总安装量 2
评分人数 3
核心用法
skill-review 是一款面向 ClawHub 平台开发者的安全审查辅助工具。用户通过命令行运行 Python 脚本,指定本地 skills 目录(默认为 ~/Developer/Skills)和 ClawHub 用户名,工具将自动枚举所有包含 SKILL.md 的本地技能文件夹,使用 Playwright 驱动的 Chromium 浏览器访问对应的 ClawHub 页面,抓取 VirusTotal 安全扫描状态、OpenClaw 置信度评估、运行时依赖要求及用户评论,最终生成一份结构化的 Markdown 报告保存至 /tmp// 目录。
显著优点
1. 自动化安全审计:将原本需要手动逐个查看的 ClawHub 安全信息聚合为单份报告,大幅提升多技能管理效率。
2. 精准信息提取:针对 ClawHub 页面结构优化,能准确解析 Security Scan、Runtime Requirements、Comments 三大核心区块。
3. 灵活映射支持:通过 --slug-map 参数解决本地文件夹名与 ClawHub slug 不一致的常见问题,适配复杂项目结构。
4. 透明可信:完全开源,代码结构清晰、类型注解完整,无黑箱操作。
潜在缺点与局限性
1. 依赖外部浏览器:Playwright + Chromium 的安装体积较大,首次配置耗时,且对系统资源有一定要求。
2. 网络依赖性强:完全依赖 ClawHub 网站可访问性,若平台改版或限流,抓取逻辑可能失效。
3. 无增量更新机制:每次运行均全量抓取,无法仅同步变更项,技能数量多时效率下降。
4. 报告输出固定:仅支持 Markdown 格式输出至 /tmp/,缺乏自定义模板或多种格式(JSON/HTML)选项。
适合的目标群体
- ClawHub 多技能维护者:需要定期审查大量 skills 安全状态的开发者
- DevOps/安全工程师:负责团队技能库合规性检查的技术人员
- 开源贡献者:希望快速了解社区技能安全概况的审核人员
使用风险
- Playwright 供应链风险:依赖 Chromium 二进制分发,虽为主流方案,但仍需关注上游安全公告
- API 密钥管理:
VIRUSTOTAL_API_KEY为可选配置,若配置不当存在泄露风险 - 临时文件残留:报告写入
/tmp//目录,多用户环境需注意权限隔离 - 页面结构变更:ClawHub 前端改版可能导致选择器失效,需及时更新 skill 版本
scripts