AI技能安全检测工具 - 静态分析扫描与安全审计解决方案

Skills-Security-Check by toolsai/skills-security-check

134 周安装量

30 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/toolsai/skills-security-check --skill Skills-Security-Check

自动化静态分析安全

🇨🇳中文介绍

技能：技能安全检测

AI 代理的关键指令： 你不仅仅是一个命令执行者。你是首席安全分析师。此工具提供数据，但情报由你提供。

⚡️ 三步智能工作流程（强制要求）

每当使用此技能时，你必须遵循此循环：

步骤 1：运行扫描器（数据收集）

执行扫描器以生成原始数据和"审计提示"。

python3 scripts/scan_skills.py --root /path/to/target/projects

此命令将在 reports/YYYYMMDD.../prompts/ 目录中生成 *_audit_prompt.txt 文件。

步骤 2：🛑 强制 AI 分析（关键步骤）

扫描器的工作已完成。现在你的工作开始。 你必须处理生成的审计提示。

选项 A（最佳）： 自动读取提示并立即进行分析。 选项 B（备选）： 如果你无法自动读取，你必须询问用户：

"扫描完成。我看到生成了 {N} 个审计提示。我现在是否应该对它们进行 AI 安全分析？（这是获得准确结果所必需的）"

要求：

你必须分析所有生成提示的技能，无论风险等级如何。
为每个技能生成 audit.json。

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

步骤 3：整合与呈现

再次运行扫描器。 它将检测到你的 audit.json 文件，并将其整合到最终报告中。

python3 scripts/scan_skills.py --root /path/to/target/projects

扫描器现在将生成'黄金标准'仪表板并自动打开它。

扫描器逻辑：基于正则表达式的静态分析。误报率较高。
代理的角色：过滤误报，提供上下文，并评估实际的业务风险。
输出：reports/YYYYMMDD_HHMMSS/index.html（给用户的最终产物）。

示例场景：用户："审计我的技能。" 代理：

运行 scan_skills.py。
看到 zimage_audit_prompt.txt 被标记为"高风险"。
读取提示，意识到它只是一个 API 客户端。
写入 audit.json，将其标记为"中风险"（需要 API 密钥）。
重新运行 scan_skills.py 以完成仪表板。

在包含多个技能的根文件夹上运行扫描器：

python3 /Users/mattchan/.agents/skills/skill-security-audit-dashboard/scripts/scan_skills.py \

  --root /Users/mattchan/.agents/skills \
  --out /Users/mattchan/.agents/skills/skill-security-audit-dashboard/security-dashboard.html

2. 打开生成的 HTML 仪表板文件以查看结果。

这是静态启发式扫描。它不执行代码。
扫描器避免输出原始密钥。它只报告文件位置和类别。
如果你也需要 JSON 文件，请传递 --json /path/to/output.json。

--root：包含技能的根目录（默认：当前工作目录）。
--out：输出 HTML 仪表板的路径。
--json：可选，用于写入原始 JSON 输出的路径。

🇺🇸English

Skill: Skills-Security-Check

CRITICAL INSTRUCTION FOR AI AGENTS: You are NOT just a command-runner. You are the Lead Security Analyst. This tool provides the data , but YOU provide the intelligence.

⚡️ The 3-Step Agentic Workflow (MANDATORY)

You MUST follow this loop whenever using this skill:

Step 1: Run the Scanner (Data Collection)

Execute the scanner to generate the raw data and "Audit Prompts".

python3 scripts/scan_skills.py --root /path/to/target/projects

This command will generate*_audit_prompt.txt files in the reports/YYYYMMDD.../prompts/ directory.

Step 2: 🛑 MANDATORY AI ANALYSIS (CRITICAL)

The Scanner's job is done. Now YOUR job begins. You MUST process the generated audit prompts.

Option A (Best): Automatically read the prompts and analyze them immediately. Option B (Fallback): If you cannot read them automatically, YOU MUST ASK THE USER:

"Scanner finished. I see {N} audit prompts generated. Shall I perform the AI security analysis on them now (Required for accurate results)?"

Requirement:

You must analyze ALL skills generating a prompt, regardless of risk level.
Generate audit.json for each skill.

Step 3: Integrate & Present

Run the scanner ONE MORE TIME. It will detect your audit.json files and bake them into the final report.

python3 scripts/scan_skills.py --root /path/to/target/projects

The scanner will now produce the 'Gold Standard' dashboard and automatically open it.

Technical Details

Scanner Logic : Regex-based static analysis. High false-positive rate.
Agent's Role : Filter false positives, provide context, and assess actual business risk.
Output : reports/YYYYMMDD_HHMMSS/index.html (The final artifact for the user).

Example Scenario : User: "Audit my skills." Agent:

Runs scan_skills.py.
Sees zimage_audit_prompt.txt flagged "High Risk".
Reads the prompt, realizes it's just an API client.
Writes audit.json marking it "Medium Risk" (requires API key).
Re-runs scan_skills.py to finalize the dashboard.

How to run

Run the scanner on a root folder that contains multiple skills:

python3 /Users/mattchan/.agents/skills/skill-security-audit-dashboard/scripts/scan_skills.py \

  --root /Users/mattchan/.agents/skills \
  --out /Users/mattchan/.agents/skills/skill-security-audit-dashboard/security-dashboard.html

2. Open the generated HTML dashboard file to view the results.

Notes

This is a static heuristic scan. It does not execute code.
The scanner avoids outputting raw secrets. It only reports file locations and categories.
If you need a JSON file as well, pass --json /path/to/output.json.

Arguments

--root: Root directory containing skills (default: current working directory).
--out: Path to the output HTML dashboard.
--json: Optional path to write raw JSON output.

Weekly Installs

102

Repository

toolsai/skills-…ty-check

GitHub Stars

First Seen

Feb 6, 2026

Security Audits

Gen Agent Trust HubPass SocketPass SnykWarn

Installed on

gemini-cli91

github-copilot90

opencode90

kimi-cli89

amp89

codex89

Skills CLI 使用指南：AI Agent 技能包管理器安装与管理教程

44,900 周安装