skill-security-auditor

Narzędzie do audytu bezpieczeństwa umiejętności dla agentów AI. Skanuje kod Python, Bash i JavaScript w poszukiwaniu niebezpiecznych wzorców: wykonywania poleceń systemowych, eval, subprocess, exfiltracji danych, iniekcji prompt oraz ryzyk w łańcuchu zależności. Zwraca wynik PASS/WARN/FAIL z wytycznymi naprawczymi. Idealne do oceny umiejętności z niezaufanych źródeł, audytu repozytoriów Git i wdrażania kontroli bezpieczeństwa przed instalacją wtyczek Claude Code, OpenClaw lub Codex.

1. Zainstaluj narzędzie, klonując repozytorium i przygotowując środowisko Python z wymaganymi zależnościami (szczegóły w README projektu).

2. Aby sprawdzić lokalną umiejętność, uruchom skrypt z ścieżką do katalogu: python3 scripts/skill_security_auditor.py /ścieżka/do/skill-name/. Narzędzie przeskanuje wszystkie pliki .py, .sh, .bash, .js i .ts w poszukiwaniu zagrożeń.

3. Jeśli chcesz audytować umiejętność z repozytorium GitHub, podaj URL i nazwę umiejętności: python3 scripts/skill_security_auditor.py https://github.com/user/repo --skill skill-name.

4. Przejrzyj raport zawierający wynik (PASS/WARN/FAIL), listę znalezionych zagrożeń z kategorią ważności oraz rekomendacje naprawcze. Narzędzie wykrywa: wykonywanie poleceń systemowych (os.system, subprocess), dynamiczne wykonanie kodu (eval, exec), obfuskację (base64, hex), dostęp do systemu plików poza granicami umiejętności i iniekcje prompt w dokumentacji.

5. Opcjonalnie użyj flagi --strict, aby każde ostrzeżenie (WARN) traktować jako błąd krytyczny (FAIL), lub --json do otrzymania raportu w formacie JSON do dalszego przetwarzania.

6. Na podstawie wyników zdecyduj, czy zainstalować umiejętność — PASS oznacza bezpieczeństwo, WARN wymaga przeglądu, FAIL wskazuje na poważne zagrożenie wymagające naprawy lub odrzucenia.