claw-lark Patches
自动重应用飞书插件自定义补丁,修复更新后功能失效问题。
下载 802
Agentic Security Review Skill
用于生成智能开发流程中的安全审查文档,涵盖权限、数据、密钥等风险评估。
已扫描安全风险
项目
内容
适合谁
AI 工作流开发者、安全与合规负责人
不适合谁
无技术背景的普通用户、无需安全审查的简单脚本使用者
国内可用性
需网络配置。可能需要网络配置或第三方服务可访问。
安装难度
新手友好(★☆☆)。基于终端操作、依赖、API Key 和本地环境要求的初步判断。
安装与下载
openclaw skills install @completetech/agentic-security-review-skillSkill 说明
命令、参数、文件名以原文为准
Agentic Security Review Skill
目的
为 CompleteTech LLC 的智能体开发工作流创建实用的安全审查文档。在发布前、授予新权限前、重大配置变更后,以及发生安全事件或险情后使用本技能。
系统边界
本技能负责安全、安全防护、权限、数据、凭据、工具及发布风险的审查。当需要专门的审查文档时,应与发现、提案或交付流程配合使用。它不替代 agentic-delivery-skill 的发布检查清单、agentic-contract-skill 的法律条款、外部合规认证、正式渗透测试,或经律师审核的隐私/安全建议。
核心工作流程
- 确定审查事件类型:发布、新增工具、敏感数据处理、外部操作、检索/RAG、凭据变更、依赖项变更、安全事件或签核。
- 收集已验证的事实信息:工作流目的、用户范围、数据类别、所用工具、权限设置、凭据详情、集成情况、检索来源、人工审批记录、日志信息、部署路径、回滚责任人、事件联系人,以及已知限制条件。
- 使用
references/use-case-decision-table.md选择合适的审查文档模板。 - 参考
references/security-positioning.md获取 CompleteTech LLC 的安全表述规范与防护准则。 - 参考
references/security-catalog.md查阅可复用的文档库。 - 保持审查范围清晰且基于证据。除非用户提供已验证的证据,否则不得声称符合合规要求、获得认证、法律批准、完成渗透测试、具备生产就绪性或保证安全性。
文档选择指南
- 启动新的智能体工作流:使用
agentic-risk-intake - 添加工具或集成:使用
tool-permission-inventory - 处理 API 密钥、令牌、服务账户或秘密信息:使用
credential-secret-handling-checklist - 访问敏感数据、客户数据、个人数据、受监管数据或专有数据:使用
data-exposure-review - 测试提示注入或工具滥用:使用
prompt-injection-test-plan - 添加检索/RAG、索引文档、网站或知识库:使用
retrieval-source-trust-review - 审查人机协同控制机制:使用
approval-gate-audit - 发送邮件、创建日历事件、修改文件、发布消息、购买商品、账单操作或更改生产系统:使用
external-action-review - 需要可追溯性、审计轨迹或运营证据:使用
logging-auditability-review - 更改模型、提供商、系统提示词、工具运行时或安全设置:使用
model-provider-configuration-review - 定义存储、删除或保留行为:使用
data-retention-review - 添加包、服务、脚本或第三方依赖:使用
dependency-supply-chain-review - 缩小访问范围或实施沙箱执行:使用
sandbox-least-privilege-checklist - 准备发布:使用
production-readiness-security-checklist - 判断哪些因素会阻止发布:使用
launch-blocker-checklist - 准备回滚方案:使用
rollback-plan - 响应安全事件或险情:使用
incident-response-plan - 明确联系人及升级时机:使用
human-escalation-procedure - 总结对抗性测试结果:使用
red-team-test-report - 记录最终审批状态:使用
security-signoff-memo
当多个文档适用时,优先选择最贴近当前变更或决策的文档,仅在能显著降低风险的情况下再补充其他支持性文档。
质量规则
- 使用已验证的联系方式。不得虚构客户、安全、法务、账单、支持或审批邮箱地址;如不确定,请询问正确地址或使用
TBD。 - 坚持最小权限原则:明确列出实际需要的每项工具、权限、凭据、数据类别和外部操作。
- 保护关键的人工审批环节,适用于不可逆操作、面向客户的沟通、支付行为、数据导出/删除、生产环境变更及重要商业决策。
- 区分事实与建议。对未知项、假设、残余风险、阻塞项及负责人决策进行标注。
- 当存在凭据可能泄露、日志缺失、沙箱防护薄弱、提示注入可触发工具、审批环节被绕过、生产回滚路径不明确或敏感数据流向不清等情况时,建议进行技术升级。
- 在发布前、扩大权限前、连接客户系统前、发送外部通信前,以及关闭事件后续跟进前,建议获取客户或人工审批。
资源指南
references/security-positioning.md:加载以获取 CompleteTech LLC 的审查语言与边界定义references/use-case-decision-table.md:选择安全审查文档时参考references/security-lifecycle.md:了解从接入到发布及事后跟进的完整审查流程references/security-catalog.md:查阅可复用的文档模板references/template-index.json:机器可读的文档元数据,供渲染器使用scripts/render_security_review.py:列出所有安全文档或使用占位符生成草稿
渲染器
python3 scripts/render_security_review.py --list
python3 scripts/render_security_review.py --stage launch --list
python3 scripts/render_security_review.py --template agentic-risk-intake --var client_name=Acme --var workflow="support triage agent"生成的文档仅为草稿。在发送、存储或依赖之前,请将占位符替换为已验证的项目事实。
渲染为品牌化 PDF
本技能生成的文档将以 CompleteTech LLC 品牌化的 PDF 格式交付,而非原始 Markdown。渲染器通过单一命令同时输出 PDF(并打印 Markdown),采用与合同技能相同的 reportlab 品牌引擎。
markdown
Agentic Security Review Skill
版本:1.0.2
分块:2/2
使用方法
pip install -r requirements.txt
python3 scripts/render_security_review.py --template security-signoff-memo \
--out artifact.pdf --png artifact.png \
--title "安全签发备忘录" --doc-type "安全评审" \
--subtitle "工作流:<b>支持邮件初筛代理(试点)</b>" --meta "备忘录编号=SEC-2026-0090" --meta "日期=2026-06-17" \
--var client_name="客户名称" --var workflow="支持初筛"--no-pdf仅输出 Markdown(原始行为);--no-cover取消封面页。- 已自行撰写 Markdown 内容?可直接渲染:
python3 scripts/render_pdf.py --markdown artifact.md --out artifact.pdf --logo assets/logo.png --title "..."。 - PDF 支持的 Markdown 子集包括:
#/##/###标题、段落、-列表、表格、>引用块、**粗体**和[PAGE_BREAK]。生成 PDF 需要reportlab;若需生成 PNG 预览,还需pypdfium2和pillow。参见assets/examples/获取已渲染示例。
网络边界
此技能为本地运行,不包含任何出站网络功能、回调机制或向外部服务上传安全评审运行元数据的辅助组件。
C
@completetech
已收录 1 个 Skill