先收集证据,再做能力对照,最后生成安装建议。目标不是给一个更漂亮的分数,而是给一个更可执行的决定。
BLOCK REVIEW ALLOW
Trust Methodology 我们不是在猜一个 risk score。
我们不是在猜一个 risk score。
我们在拼一个安装决定。
一个可用的 AI skill trust review,必须回答三个问题:它声称做什么,它实际做什么,以及这些证据是否足够支持阻止、复核或放行。ClawSafe 的方法论就是围绕这三个问题组织的。
证据优先
文件树、IOC、依赖和声明信息先落地,再进入语义判断。
能力对照
声明能力和真实行为并排比较,优先抓越权和隐藏执行。
可执行结论
输出可以进入审批、门禁和审计流的安装建议。
判断链路
每次扫描都沿着同一条证据链推进,尽量先拿到事实,再做语义判断,最后输出安装建议。
输入归一化
接受 GitHub、ClawHub、压缩包或本地文件,统一解包成文件树。
静态证据提取
读取文件结构、敏感文件、IOC、语言分布、依赖与声明信息。
能力与意图推断
把声明能力和真实行为并排,识别越权、隐藏执行、外联与攻击链。
安装建议生成
输出阻止 / 复核 / 放行建议,并附上能支撑该建议的证据。
我们重点关心的判断信号
如果 skill 说自己只是“分析代码”,但实际需要 shell、network 或访问用户主目录,它的可信度会明显下降。
包括编码执行、危险命令拼接、远程下载后执行和通过文档诱导 AI 执行未声明操作。
外部 URL、可疑域名、硬编码 IP、凭证模式和数据外发路径都会被视为高权重信号。
未锁版本、带漏洞依赖、外部脚本和后置安装行为,都会改变安装建议。
一份报告应该输出什么
01
安装建议,而不是只有一个分数。
02
风险理由和关键证据,而不是泛泛的“存在威胁”。
03
声明能力与实际能力对照,让越权一眼可见。
04
攻击链、IOC、依赖和文件快照,方便复核和转发。
这套方法的边界
!
它不是动态沙箱,不能代替真实运行时观测。
!
它会给你一个高质量的安装决策输入,但不会替你承担最终责任。
!
“通过”只代表当前没有足够证据阻止,不代表绝对安全。
!
复杂混淆、多阶段下载和强上下文依赖行为,仍可能存在漏报。
Next Action