About ClawSafe

我们不是在做“扫描演示”。
我们在做安装前的可信判断。

ClawSafe 的出发点很直接：用户真正想知道的不是一个 skill 看起来多酷，而是它值不值得被装进自己的环境。这个问题必须靠证据回答，而不是靠下载量、平台背书或一段漂亮的 README。

为什么会有这个产品

AI coding skills 进入工作流的速度，远快于安全审查机制的建立速度。很多 skill 可以读文件、发请求、执行命令，却几乎没有安装前的可信验证层。

默认信任太便宜

一个 skill 只要写得像工具，就很容易被用户装进去。

真实权限太重

很多 skill 一旦运行，拿到的是文件、shell、网络和环境变量。

现有提示太弱

“开源”“很多星”“平台已上架”都不足以证明它值得信。

ClawSafe 把静态证据提取、能力对照、语义分析和报告生成串成一条判断链，目标不是发现所有风险，而是尽快给出一个能支撑安装决策的结论。

证据先行

先提取文件树、敏感文件、IOC、依赖和声明，再让模型在这些证据之上推断意图，而不是反过来先给结论。

决策优先

最终输出不是模糊的“可能有风险”，而是阻止、复核还是谨慎放行，以及为什么。

多人可读

同一份报告应该能同时被开发、安全和审计理解，不要求每个人都读完整代码。

证据比名气重要

平台背书、作者名气和下载量都可以作为背景，但不能替代代码证据。

透明比神秘重要

报告必须说明为什么下这个判断，而不是只输出一个风险分。

速度比完美重要

安装前决策需要快速反馈，延迟太高会让团队回到默认信任。

人类最终拍板

ClawSafe 是风险判断层，不是假装取代人工审查。

ClawSafe 由 YiSec 团队构建和维护。我们更关心的是把 AI 原生场景里的真实安全决策产品化，而不是做一套只能在研究报告里成立的理论框架。

Next Action

不要先信它。先把它扔进系统，看看它到底声称了什么、做了什么、试图带来什么。