翔宇 Skill 安全审计（demo 种子条目）

⚠️ 这是 v1 上线前的种子 demo 条目，用于验证 frontmatter schema 完整性。爬虫上线后将由真实数据替换。

是什么

AI Agent Skill 的安全审计工具，对你下载的第三方 Skill 执行多层安全扫描，输出百分制评分 + 安全等级裁决（Safe / Caution / Danger / Critical）。

谁需要

• 企业用户：在团队内部署 Agent Skill 前要做合规审查
• 开发者：从 GitHub 下载第三方 Skill 想确认没有恶意代码
• 创作者：发布自己的 Skill 想自检

怎么用

# 安装到 Claude Code
claude skill add github:xiangyugongzuoliu/skill-security-auditing

# 或本地下载后跑
git clone https://github.com/xiangyugongzuoliu/skill-security-auditing
cd skill-security-auditing
# 按 SKILL.md 触发

触发示例

• "审计这个 Skill 安全吗"
• "扫一下这个 SKILL.md 有没有 prompt injection"
• "skill audit"

核心能力

• Prompt Injection 检测：识别可疑的指令注入模式
• 命令注入扫描：检查 Bash / shell 调用是否参数化
• 数据外泄识别：检测对外部 endpoint 的可疑请求
• 硬编码密钥扫描：grep API key / token 模式
• 混淆代码识别：base64 / eval / 异常 unicode

应用场景

• 团队部署 Agent Skill 前的合规审查
• 开源贡献者发布 Skill 前的自检
• Agent farm 调度前的批量预扫
• 企业安全团队的 Agent 治理

FAQ

Q：跑一次多久？ A：单 Skill 通常 30 秒以内。批量扫一个 awesome list 几百个约 5-10 分钟。

Q：评分准吗？ A：基于规则 + LLM 双层判断。误报会有，但漏报极少。建议把它作为"快速过滤"+人工 review 的双保险。

Q：能扫 MCP server 吗？ A：v1 只支持 SKILL.md 标准。MCP server 审计在 v2 路线图。