双向验证
发布者在分享前扫描一次,使用者在安装时再次扫描。tree hash 必须匹配,ClawSafety 才会标记技能为已验证。
CLAWSAFETY
扫描可疑技能、GitHub 仓库和安装包,通过验证注册表安全分发。
Claude CodeCursorWindsurfCodexGemini CLIOpenClawClineRooGooseCopilotKiroTrae
20扫描规则
5风险类别
312已索引技能
47已拦截异常安装
8IOC 情报源
99.3%验证通过安装
注册表机制
先搜索,再信任,哈希一致才安装。
交互面刻意做得简单:一个搜索框、一份报告、一条安装路径。背后注册表的保存、分享和验证状态始终可见。
注册中心级搜索
粘贴 GitHub URL、按名称搜索或浏览已验证技能。同一搜索框完成导入、发现和分类。
可操作的报告
每条发现都包含严重级别、文件路径、IOC 上下文和具体修复建议。报告便于人工阅读,也支持自动化导出。
验证流程
发布端扫描、消费端复检、显式交接。
如果同一个技能要在团队和不同 AI 工具间流转,这是最低的安全门槛。
发布者扫描
技能在可分享之前,需完成静态分析、IOC 关联、提示词注入审查和权限建模。
使用者复验
ClawSafety 在安装时重新计算 tree hash 并重跑高置信度规则,检测篡改和漂移。
运行时交接
最终安装载荷保持透明:哪些文件被修改、哪些工具被调用、哪些网络范围被请求。
热门技能
不同信任状态的注册表条目。
已验证、存在偏差、技能集——在同一界面展示,让运维人员一眼区分安全分发和待审队列。
快速开始
安装、保存、分享、验证,一套命令搞定。
当前为静态原型,但命令和页面结构已与后端 API 对齐。
安装到 AI 工具
Create clawsafety registry skill from https://clawsafe.dev/skill.mdCLI 命令
clawsafety scan ./my-skill --format json
clawsafety registry save ./my-skill --version 1.0.0
clawsafety registry install @clawsafe/[email protected]