scan-skill

scan-skill是一款专为AI助手生态设计的预安装安全审查工具，旨在解决第三方技能（Skill）可能带来的供应链安全风险。通过深度静态代码分析，该工具能够在技能安装前全面检测潜在的恶意代码、注入攻击和隐藏指令，为用户构建起第一道安全防线。

核心用法

用户通过执行Python脚本对目标技能目录进行扫描：python3 scan_skill.py <skill_path>。工具将执行八维度的安全检测：SKILL.md前置元数据分析（识别危险字段组合与隐藏技能）、隐藏HTML注释检查（发现强制性指令）、Shell命令模式匹配（检测远程代码执行与编码载荷）、描述持久化触发器（防范强制重复执行关键词）、支持文件目录分析（scripts/目录内容与可执行权限）、动态上下文注入（预处理器命令执行）、编码混淆检测（base64、十六进制、零宽字符）以及指令覆盖尝试（上下文操纵与角色伪装）。最终生成按严重性排序的结构化报告。

显著优点

该工具最大的安全优势在于其纯净的技术栈：仅依赖Python标准库（pathlib、os、re等），完全避免第三方包引入的供应链风险。作为只读分析工具，它不会对系统造成任何修改或破坏，确保审查过程本身的安全性。权限设计遵循最小化原则，申请Read/Glob/Grep/Bash工具仅在fork隔离上下文中运行，且禁用模型自动调用（disable-model-invocation），需用户主动触发。输入验证机制完善，对目录存在性、文件可读性及异常处理均有严格检查。

潜在缺点与局限性

尽管代码质量达到A级，但其来源为GitHub个人开发者账号（T3级），长期维护与更新稳定性存在不确定性。作为静态分析工具，它无法检测运行时的动态行为异常或复杂的逻辑漏洞。此外，该工具不能替代专业的安全审计流程，对于高度混淆的恶意代码或零日攻击可能存在漏报风险，扫描结果仍需人工专业审查确认。

适合的目标群体

主要面向AI助手系统管理员、平台安全审查团队、企业级AI应用开发者以及从公共仓库安装第三方技能的高级用户。特别适用于持续集成/持续部署（CI/CD）流程中的自动化安全门禁，或在引入外部贡献技能时的快速风险评估场景。

使用风险

扫描大型技能目录时可能产生性能开销；虽然Bash工具使用已严格限制在本地文件分析场景，但用户仍需确保执行环境可信；工具依赖本地Python 3环境，若环境配置异常可能导致扫描失败。建议结合其他安全工具进行综合评估，不单独作为最终安全判决依据。