skills-audit

Umiejętność audytu lokalnych skills dla Claude'a i Codexa. Używa narzędzia SkillLens CLI do skanowania katalogów umiejętności i generowania raportu zagrożeń. Analizuje pliki SKILL.md i zasoby każdej umiejętności, identyfikując problemy bezpieczeństwa takie jak eksfiltracja danych, wykonywanie poleceń shell czy nieautoryzowany dostęp do systemu plików. Pomaga w systematycznym przeglądzie ryzyka przed uruchomieniem nowych skills.

1. Zainstaluj SkillLens — uruchom npx skilllens scan (jednorazowe uruchomienie) lub pnpm add -g skilllens (instalacja globalna). Jeśli używasz pnpm, możesz też użyć pnpm dlx skilllens scan.

2. Sprawdź konfigurację skanera — wykonaj skilllens config, aby zobaczyć skonfigurowane katalogi do skanowania i dostępność CLI audytora (Claude lub Codex).

3. Uruchom skan — wykonaj skilllens scan dla wszystkich skonfigurowanych katalogów lub skilllens scan ścieżka dla konkretnego katalogu (np. skilllens scan ~/.codex/skills lub skilllens scan ./skills). Dodaj flagę --verbose, aby zobaczyć szczegółowe wyniki audytora, lub --force, aby zignorować wyniki z pamięci podręcznej.

4. Przeanalizuj wyniki — przejrzyj umiejętności oznaczone jako unsafe lub suspicious w pierwszej kolejności. Następnie sprawdź skills żądające szerokich uprawnień (dostęp do systemu plików, sieć), wykonujące polecenia shell lub pobierające kod z zewnętrznych źródeł.

5. Ręcznie sprawdź zawartość każdej umiejętności — przeczytaj plik SKILL.md oraz katalogi scripts/, references/ i assets/. Nie uruchamiaj skryptów domyślnie — najpierw je przeanalizuj pod kątem potencjalnych zagrożeń takich jak wysyłanie danych do zdalnych serwerów, uruchamianie arbitralnych poleceń lub pobieranie i wykonywanie kodu.