SKILL AUDITOR

OpenClaw 的安全檢查站。

每次你從 OpenClaw 安裝 skill，Panguard 自動在背景掃描。沒問題？直接裝好。有問題？報告送到你的手機，你再決定要不要裝。

terminal

$ panguard audit skill ./skills/suspicious-agent

Scanning suspicious-agent... done (0.3s)
Risk Score: 72/100 (CRITICAL)

  [CRITICAL] Prompt injection: "ignore previous instructions"
             SKILL.md:42
  [HIGH]     Reverse shell: "bash -i >& /dev/tcp/..."
             SKILL.md:87

VERDICT: DO NOT INSTALL
Run with --json for machine-readable output.

你遲早會遇到

OpenClaw 上的 skill，你真的都信得過嗎？

開放生態系的好處是誰都能發布 skill。壞處也是。你從 OpenClaw 裝進來的每一個 skill，拿到的是你 agent 的完整權限 — 它碰得到你的檔案、.env、SSH key。

問題是有些攻擊你用看的看不出來。零寬字元藏在正常文字中間、惡意指令用 Base64 包起來、prompt injection 寫得像普通的使用說明。等你發現的時候，API key 早就被撈走了。

搞清楚差別

人看跟機器掃，能力差很多。

社群 vetting 靠人審，有經驗的人可以看出意圖。但隱形字元、編碼過的惡意指令，這些人眼物理上看不到。

社群人工審查

Panguard Skill Auditor

怎麼做

照 checklist 一條一條看，靠經驗

自動靜態分析：regex + 程式碼掃描 + 金鑰偵測

花多久

每個 skill 幾分鐘

一秒以內

能抓到什麼

看得到的明文威脅

隱形字元、Base64 包裝、同形字攻擊

穩定度

看今天誰在審、狀態如何

掃一百次結果都一樣

給你什麼

主觀判斷：可以 / 不行

報告：第幾行、什麼問題、幾級、建議

人工審查對判斷意圖和脈絡很有用，機器掃描對抓隱藏威脅很強。最好的做法是兩個都做。

為什麼是 PANGUARD

OpenClaw 生態系缺的那一塊。

裝之前先掃

任何來源、任何格式

不管 skill 從哪來 — OpenClaw、GitHub、本地目錄 — 裝之前都先掃一次。隱形字元、編碼過的惡意指令、prompt injection，這些人看不出來的東西 Panguard 抓得到。

AI Agents執行時才問你 allow/deny

Panguardinstall 之前就掃完

0 到 100 分，有憑有據

你知道問題在哪、有多嚴重

Panguard 會告訴你哪一行有問題、屬於什麼威脅類型、嚴重程度幾級。有報告可以看，有根據可以判斷。

AI Agents只有允許跟拒絕

Panguard分數 + 原因 + 行號 + 報告

直接接進 CI/CD

pipeline 自動把關

你的 skill 倉庫可以在 GitHub Actions 或 GitLab CI 裡跑 Panguard。風險分數超標的 PR 自動擋掉，團隊不用額外花時間盯。

AI Agents沒有 CI/CD 整合

PanguardJSON 輸出 + exit code，直接接 pipeline

什麼格式都能掃

OpenClaw、MCP、自訂格式

支援 OpenClaw SKILL.md、MCP tools、各種 markdown 格式的 agent skill。不管 skill 從哪裡來，一個指令搞定。

AI Agents只能掃自家的 skill

PanguardOpenClaw、MCP、自訂格式都行

三層防護

Regex 抓已知的。AI 抓看不出來的。社群抓掃過的。

指令劫持

11 組特徵比對，抓身份偽裝、指令覆蓋、越獄攻擊

隱形字元

零寬空格、方向覆寫、長得跟真的一樣的假字母，肉眼看不見的東西

編碼過的惡意內容

自動解開 Base64，檢查裡面有沒有 eval、exec、subprocess

工具下毒

反向連線、提權、遠端執行、偷環境變數這些後門手法

原始碼 + 金鑰掃描

抓寫死在程式碼裡的 API key、AWS 憑證、私鑰

權限合理性

skill 說自己是唯讀的，結果要寫入權限？會標出來

格式驗證

SKILL.md 結構完整嗎、該填的欄位有沒有少、metadata 正常嗎

<1s

掃描耗時

檢查項目

11+

攻擊特徵

怎麼運作

三層一起掃，單層抓不到的東西逃不掉。

第一層

特徵比對

11 組 prompt injection 特徵、6 組工具下毒簽章、同形字偵測、Base64 解碼。確定性結果，一秒內跑完。

第二層

AI 語意分析

LLM 分析 skill 有沒有社交工程、描述跟實際行為矛盾、或是刻意繞過 regex 的混淆攻擊。

第三層

Threat Cloud 社群情報

每次掃描都會上傳匿名化威脅指標。別人掃過的危險 skill，你還沒掃就先知道了。

量化風險

幾分、為什麼、怎麼辦。

每個 skill 都有量化分數和具體發現，看完報告你就知道該裝還是該丟。

0-14

LOW

看一下就可以裝了

15-39

MEDIUM

看過報告再決定

40-69

HIGH

建議找人仔細看

70-100

CRITICAL

不要裝

實際怎麼用

三種場景，你一定碰過至少一個。

開發者

CLI — 裝之前先掃一次

$ panguard audit skill ./new-tool

Scanning... done (0.3s)

Risk: 8/100 (LOW)

Safe to install.

DevSecOps

CI/CD — pipeline 自動擋高風險 skill

# .github/workflows/skill-gate.yml

- run: panguard audit skill ./skills/

--json --threshold 40

# Blocks PR if risk > 40

企業

Manager — 全機群統一安全策略

# panguard-manager policy

skill_policy:

require_audit: true

max_risk_score: 39

跟 AGENT 的關係

三個階段，各管各的。

Panguard 補的是 OpenClaw 安裝流程裡目前還沒有人在做的事：裝之前的靜態分析。Agent 自己的 allow/deny 是另一層，兩個加在一起才完整。

裝之前

Panguard Skill Auditor

skill 進到你系統之前就掃完了。有問題的話連 install 都不會執行。

App Store 上架審查

執行階段

Agent 權限控制

你的 agent 在 skill 要讀檔案或跑指令的時候會跳出確認。這是最後一道關卡。

手機的權限彈窗

全天候

Panguard Guard

真的有東西溜進來了，Guard 在系統底層 24 小時盯著，偵測到異常直接處理。

大樓保全系統

Panguard 掃描（裝之前）→ Agent 權限（跑的時候）→ Guard 監控（全天候）

“OpenClaw 讓你輕鬆找到好工具。Panguard 確保那些工具值得信任。”

開放生態系需要一個獨立的安全層。發布 skill 的人和審查 skill 的人，不應該是同一個角色。Panguard 就是這個獨立的第三方。

先掃再裝。

一行指令，七道檢查，裝之前就知道結果。

安裝 Panguard

curl -fsSL https://panguard.ai/api/install | bash

免費開始看方案