ClawSafe 是如何工作的?
ClawSafe 以多 Agent 安全分析管道为核心:文件采集 Agent 提取技能内容,静态规则 Agent 运行 80+ 条模式检测规则,语义分析 Agent 在完整上下文中推理并识别攻击链,分类 Agent 将发现映射到 10 大威胁类别,评分 Agent 生成风险分数,最终由报告 Agent 聚合输出结构化报告。整个流程在 60 秒内完成。
我上传的文件会被保存吗?
不会。原始文件在内存中扫描后立即丢弃,不写入磁盘,不持久化存储。报告只保存技能的元数据(名称、来源、分析结果),不包含你的原始代码。
需要注册账号吗?
不需要。扫描完全免费,无需注册。直接粘贴 GitHub 链接或上传文件即可获得报告。
ClawSafe 支持哪些输入格式?
GitHub 仓库 URL、ClawHub 技能页面 URL、.zip 压缩包直链、或直接上传文件夹(浏览器拖拽)。
ClawHub 是什么?
ClawHub 是 AI 技能的发布注册表,类似 npm 或 PyPI,用于分发和安装 Claude Code、OpenClaw 等 AI 编程工具的技能(skill)。ClawSafe 会主动扫描 ClawHub 上新发布的技能。
报告是公开的吗?
是的。所有报告默认公开,便于社区验证和参考。报告按技能名去重展示,报告 URL 格式为 /report/{id}。如果你认为某个报告有误,可以发邮件给我们提出异议。
safe 的技能一定安全吗?
不一定。ClawSafe 的 verdict 是风险信号,基于静态分析和 LLM 推理,存在误报和漏报。safe 表示未发现明显威胁,不等于绝对安全。我们建议对关键技能仍进行人工代码审查。
危险的技能会被下架吗?
ClawSafe 不直接控制 ClawHub 上架/下架。我们会将发现高危威胁的技能在榜单上公示,并向 ClawHub 平台方报告。如发现紧急威胁,欢迎通过 [email protected] 联系我们。
如何通过 API 使用 ClawSafe?
访问 /api-docs 查看完整 API 文档。核心端点:POST /api/scan 提交扫描,GET /api/report/{id} 获取报告。API 目前免费,有速率限制。
为什么同一技能的中英文报告结果不同?
ClawSafe 支持中英文扫描,语义分析 Agent 使用不同语言的系统提示。不同语言版本的 Agent 指令可能产生略有差异的发现,但风险评分基于相同的规则引擎,差异通常很小。
ClawSafe 是否开源?
目前不开源。我们正在评估开源 Agent 分析引擎的计划。完整的扫描方法论详见 /methodology 页面。
如何举报误报或漏报?
发邮件到 [email protected],附上报告链接和你的判断理由。我们会人工核查并更新报告。