Volcengine技能安全扫描器 (Volcengine Skills Scanner)

通过将技能目录打包并上传火山引擎安全扫描服务进行扫描，审计工作区中的其他技能是否存在潜在的安全风险。

何时使用

• 审计：定期扫描所有技能以确保符合安全策略。
• 开发：在开发过程中检查自己的技能。
• 要求：必须确保目标技能包含 SKILL.md 文件，因为它是扫描的主要输入。

用法

使用 scripts/scan.py 脚本执行扫描。必须使用绝对路径，不要使用~，因为运行目录不是 skill 目录。

脚本会自动打包目录（如果提供的是目录）并上传，始终输出包含扫描结果的 JSON 数组。解析此JSON并以易读的格式（中文）向用户展示结果（风险等级、详细信息、建议）。

扫描技能（目录或压缩包）

脚本通过环境变量读取配置(推荐)

python3 ~/.openclaw/workspace/skills/byted-security-skillsscanner/scripts/scan.py --name "bad_skills1" --path "/root/.openclaw/workspace/skills/bad_skills1"

重要：

• 脚本路径必须是绝对路径
• 目标路径也必须是绝对路径
• 确保已设置必要的环境变量（VOLCENGINE_ACCESS_KEY、VOLCENGINE_SECRET_KEY、VOLCENGINE_REGION）

报告格式

向用户展示结果时，必须使用以下格式（中文）：

🛡️ 安全扫描报告：[SkillName]

扫描时间: [将 ScanEndTime 时间戳转换为可读日期格式] 整体状态: [✅ 通过 / ❌ 发现风险]

风险等级	规则名称	风险详情
[High/Medium/Low]	[RuleName]	[RiskDetail]

发现的风险列表： （仅列出 High 和 Medium 级别的风险）

1. [RuleName] (ID: [RuleID])
   • 等级: [RiskLevel]
   • 文件: [FileName]
   • 详情: [RiskDetail]
   • 建议: 请检查上述文件中的代码，移除可疑的网络请求或敏感操作。

---

环境变量配置

1. 获取火山引擎访问凭证：参考 用户指南 获取 AK/SK

2. 配置以下环境变量:

export VOLC_ACCESS_KEY="your-access-key"
export VOLC_SECRET_KEY="your-secret-key"
export VOLC_REGION="cn-north-1"  # 可选，默认 cn-north-1