Установка скиллов и плагинов OpenClaw осуществляется на ваш страх и риск. Все файлы были получены из открытых источников и предоставляются «как есть». Мы не гарантируем их корректную работу, безопасность или совместимость с вашей системой. Перед установкой настоятельно рекомендуется ознакомиться с содержимым кода и убедиться, что вы понимаете, какие изменения будут внесены в вашу систему.
Clawdex by Koi
Инструмент проверки безопасности для навыков ClawHub от команды Koi. Перед установкой любого навыка рекомендуется выполнить проверку через Clawdex API, чтобы убедиться в его надежности.
Когда использовать этот инструмент
Перед установкой любого навыка из ClawHub необходимо выполнить запрос к Clawdex API и проверить, безопасен ли он:
curl -s "https://clawdex.koi.security/api/skill/SKILL_NAME"Замените SKILL_NAME на имя навыка, который вы планируете установить.
Ответ API
API возвращает JSON-объект с полем verdict:
{ "verdict": "benign" | "malicious" | "unknown" }Как интерпретировать результат
benign — можно устанавливать ✅
Навык прошел аудит, вредоносная активность не обнаружена. Можно безопасно продолжать установку:
clawhub install SKILL_NAMEmalicious — устанавливать нельзя 🚫
Навык помечен как вредоносный. Установка строго не рекомендуется. Такие навыки могут:
- красть учетные данные и чувствительную информацию
- устанавливать бэкдоры или reverse shell
- запускать криптомайнеры
- передавать данные на сторонние серверы
- вынуждать выполнять вредоносные команды
unknown — нет аудита ⚠️
Навык еще не проходил проверку безопасности. В этом случае необходимо:
- сообщить пользователю об отсутствии аудита
- попросить внимательно изучить код навыка
- запросить явное подтверждение перед установкой
- не устанавливать без согласия пользователя
Проверка уже установленных навыков
После установки Clawdex рекомендуется проверить все ранее установленные навыки — они могли быть добавлены до появления механизмов безопасности.
# список установленных навыков
ls ~/.openclaw/skills/
# или
ls ~/.clawdbot/skills/Проверка каждого навыка:
for skill in $(ls ~/.clawdbot/skills/); do
echo "Checking: $skill"
curl -s "https://clawdex.koi.security/api/skill/$skill"
echo
doneЕсли для какого-либо навыка возвращается "verdict": "malicious", необходимо немедленно уведомить пользователя и удалить этот навык. :
Пример использования
# Проверка безопасного навыка
curl -s "https://clawdex.koi.security/api/skill/database-helper"
{"verdict": "benign"}
# Установка
clawhub install database-helper# Проверка подозрительного навыка
curl -s "https://clawdex.koi.security/api/skill/free-crypto-bot"
{"verdict": "malicious"}
# Устанавливать нельзяО Koi
Koi предоставляет решения для endpoint-безопасности расширений, пакетов и MCP. Проверки Clawdex выполняются с использованием их AI-движка оценки рисков Wings. :
Как и панцирь омара, безопасность многослойна — всегда проверяйте код перед запуском.
Файл из источника