第三方 Skill 安全检查工具

Claude Code 第三方 Skill 安全检查工具。在执行任何 Skill 前自动进行安全预检，拦截危险 Skill ；也支持手动触发深度审计

https://github.com/hezhijie/skill-security-check/

============================================
  Skill Security Audit Report
============================================

Skill: skill-security-check
Path:  ~/.claude/skills/skill-security-check
Files: 2 files scanned

--------------------------------------------
  Overall Risk Level: 🟡 MEDIUM
--------------------------------------------

## Frontmatter Analysis
- allowed-tools: Read, Grep, Glob, Bash → 🟡 Medium (包含 Bash ，可执行命令)
- context: 未设置 → 🟢 OK
- hooks: 未定义 → 🟢 OK
- disable-model-invocation: true → 🟢 Good (仅手动触发)

## Dynamic Injection Commands
- 未发现实际的动态注入命令 → 🟢 OK
- 自动扫描匹配到的是 SKILL.md 中的文档描述文本，非真实注入

## Script Analysis (scan.sh)
- 所有 grep/find 命令均为**只读扫描操作** → 🟢 Safe
- 网络请求关键词出现在 grep 匹配模式中，非实际网络调用 → 🟢 False positive
- 敏感路径关键词出现在 grep 匹配模式中，非实际访问 → 🟢 False positive
- 无数据外发、无破坏性操作、无权限提升

## Hidden Content Check
- 无 HTML 隐藏注释 → 🟢 OK
- 无 Base64 编码内容 → 🟢 OK
- 无不可见 Unicode 字符 → 🟢 OK
- 无 prompt injection 尝试 → 🟢 OK

## Detailed Findings

### 🟡 Medium Risks
1. SKILL.md:6 — `allowed-tools` 包含 `Bash`，扫描脚本需要用 Bash 执行，属于功能需要，但理论上可执行任意命令

### 🟢 Low Risks / Info
1. scan.sh 中的所有危险关键词（ curl, wget, rm -rf 等）都是 grep 搜索模式，不是实际执行的命令
2. SKILL.md 中的敏感关键词（ password, token 等）都是文档描述，不是实际操作

--------------------------------------------
  Recommendation: USE WITH CAUTION
--------------------------------------------
这个 skill 本身是安全的。所有"危险"匹配都是误报
（扫描工具扫描自己时，文档中的检查规则会被自身匹配到）。
唯一的风险点是 allowed-tools 包含 Bash ，但作为安全扫描工具
这是必要的。建议保持 disable-model-invocation: true ，
仅手动触发使用。

Skill 运行正常了。由于是扫描自己，大量匹配是误报（文档中描述的检查规则被自身的 grep 匹配到了）。实际安全等级为 🟡 MEDIUM ，可以放心使用。