第三方 Skill 安全检查工具

Claude Code 第三方 Skill 安全检查工具。在执行任何 Skill 前自动进行安全预检，拦截危险 Skill ；也支持手动触发深度审计

https://github.com/hezhijie/skill-security-check/

============================================ Skill Security Audit Report ============================================ Skill: skill-security-check Path: ~/.claude/skills/skill-security-check Files: 2 files scanned -------------------------------------------- Overall Risk Level: MEDIUM -------------------------------------------- ## Frontmatter Analysis - allowed-tools: Read, Grep, Glob, Bash → Medium (包含 Bash ，可执行命令) - context: 未设置 → OK - hooks: 未定义 → OK - disable-model-invocation: true → Good (仅手动触发) ## Dynamic Injection Commands - 未发现实际的动态注入命令 → OK - 自动扫描匹配到的是 SKILL.md 中的文档描述文本，非真实注入 ## Script Analysis (scan.sh) - 所有 grep/find 命令均为**只读扫描操作** → Safe - 网络请求关键词出现在 grep 匹配模式中，非实际网络调用 → False positive - 敏感路径关键词出现在 grep 匹配模式中，非实际访问 → False positive - 无数据外发、无破坏性操作、无权限提升 ## Hidden Content Check - 无 HTML 隐藏注释 → OK - 无 Base64 编码内容 → OK - 无不可见 Unicode 字符 → OK - 无 prompt injection 尝试 → OK ## Detailed Findings ### Medium Risks 1. SKILL.md:6 `allowed-tools` 包含 `Bash`，扫描脚本需要用 Bash 执行，属于功能需要，但理论上可执行任意命令 ### Low Risks / Info 1. scan.sh 中的所有危险关键词（ curl, wget, rm -rf 等）都是 grep 搜索模式，不是实际执行的命令 2. SKILL.md 中的敏感关键词（ password, token 等）都是文档描述，不是实际操作 -------------------------------------------- Recommendation: USE WITH CAUTION -------------------------------------------- 这个 skill 本身是安全的。所有"危险"匹配都是误报 （扫描工具扫描自己时，文档中的检查规则会被自身匹配到）。 唯一的风险点是 allowed-tools 包含 Bash ，但作为安全扫描工具 这是必要的。建议保持 disable-model-invocation: true ， 仅手动触发使用。 

Skill 运行正常了。由于是扫描自己，大量匹配是误报（文档中描述的检查规则被自身的 grep 匹配到了）。实际安全等级为 MEDIUM ，可以放心使用。