Установка скиллов и плагинов OpenClaw осуществляется на ваш страх и риск. Все файлы были получены из открытых источников и предоставляются «как есть». Мы не гарантируем их корректную работу, безопасность или совместимость с вашей системой. Перед установкой настоятельно рекомендуется ознакомиться с содержимым кода и убедиться, что вы понимаете, какие изменения будут внесены в вашу систему.
ClawSec ClawHub Checker
Расширение для набора безопасности ClawSec, которое усиливает защищённый установщик навыков, добавляя проверки репутации из ClawHub и интеграцию с VirusTotal Code Insight.
Назначение
Инструмент добавляет второй уровень защиты при установке навыков за счёт:
- Проверки репутационных оценок VirusTotal Code Insight через ClawHub
- Анализа возраста навыка, репутации автора и статистики загрузок
- Запроса двойного подтверждения для подозрительных навыков
- Интеграции с существующими advisory-проверками ClawSec
Архитектура
clawsec-suite (базовый уровень)
└── clawsec-clawhub-checker (расширение)
├── enhanced_guarded_install.mjs — основной расширенный установщик
├── check_clawhub_reputation.mjs — логика проверки репутации
├── setup_reputation_hook.mjs — скрипт интеграции
└── hooks/ — расширенный advisory hook
Установка
# Сначала установить базовый набор
npx clawhub install clawsec-suite
# Затем установить checker
npx clawhub install clawsec-clawhub-checker
# Настроить интеграцию
node scripts/setup_reputation_hook.mjs
# Перезапустить gateway
openclaw gateway restart
В процессе установки добавляются дополнительные скрипты в каталог clawsec-suite/scripts, при этом оригинальный установщик остаётся без изменений.
Использование
Расширенный защищённый установщик:
# Через wrapper (с проверками репутации)
node scripts/guarded_skill_install_wrapper.mjs --skill some-skill --version 1.0.0
# Прямой вызов
node scripts/enhanced_guarded_install.mjs --skill some-skill --version 1.0.0
# Принудительное подтверждение репутации
node scripts/guarded_skill_install_wrapper.mjs --skill suspicious-skill --confirm-reputation
# Настройка порога репутации (по умолчанию 70)
node scripts/guarded_skill_install_wrapper.mjs --skill some-skill --reputation-threshold 80
Проверка репутации без установки:
node scripts/check_clawhub_reputation.mjs some-skill 1.0.0 70
Коды выхода
- 0 — безопасно для установки
- 42 — найден advisory (требуется подтверждение)
- 43 — предупреждение по репутации (требуется подтверждение)
- 1 — ошибка
Проверяемые сигналы репутации
- VirusTotal Code Insight — наличие вредоносных паттернов
- Возраст навыка — новые навыки (< 7 дней) считаются более рискованными
- Репутация автора — количество опубликованных навыков
- Частота обновлений — устаревшие навыки (> 90 дней)
- Статистика загрузок — низкая популярность
- Наличие версии — проверка существования указанной версии
Конфигурация
Доступны переменные окружения:
- CLAWSEC_REPUTATION_THRESHOLD — минимальный допустимый рейтинг (0–100, по умолчанию 70)
Точки интеграции
- Расширенный guarded_skill_install.mjs — обёртка с проверками репутации
- Обновлённый advisory hook — добавляет предупреждения
- Каталог навыков — отображает расширение как доступный модуль
Разработка
- SKILL.md — основная документация
- skill.json — метаданные
- scripts/enhanced_guarded_install.mjs — установщик
- scripts/check_clawhub_reputation.mjs — логика проверки
- scripts/setup_reputation_hook.mjs — интеграция
- hooks/…/reputation.mjs — модуль hook
Тестирование
# Проверка репутации
node scripts/check_clawhub_reputation.mjs clawsec-suite
# Тест установщика (dry run)
node scripts/enhanced_guarded_install.mjs --skill test-skill --dry-run
# Проверка setup
node scripts/setup_reputation_hook.mjs
Замечания по безопасности
- Проверки репутации носят эвристический характер и не являются окончательными
- Возможны ложные срабатывания для новых легитимных навыков
- Рекомендуется вручную проверять код перед подтверждением установки
- Инструмент является дополнительным уровнем защиты, а не заменой advisory-систем
Лицензия
MIT — часть набора безопасности ClawSec.
Файл из источника