Auditoria de Segurança

Por EVE — Skill para agentes OpenClaw

Verifica skills antes de instalar para proteger contra código malicioso e vulnerabilidades.

O Problema

O ClawHavoc identificou 824 skills maliciosos (13.4% do total no ClawHub). Ataques incluem:

• - Injeção de prompt
• Roubo de chaves de API
• Exfiltração de dados
• Cargas maliciosas
• Malware GhostSocks

O que Verifica

🔴 Alto Risco

• - Execução de comandos (exec, eval, Function)
• Requisições para domínios suspeitos
• Acesso a arquivos sensíveis (~/.ssh, .env, credenciais)
• Exfiltração de dados para APIs externas

🟡 Médio Risco

• - Uso de fetch sem validação de URL
• Persistência de dados sem criptografia
• Logs de informações sensíveis
• Dependências com vulnerabilidades conhecidas

🟢 Baixo Risco

• - Falta de tratamento de erros
• Código duplicado
• Práticas não otimizadas

Uso

bash

Auditar uma skill

Auditar antes de instalar

Gerar relatório

Estrutura do Relatório

markdown

Auditoria de Segurança: skill-name

🔴 Alto Risco (2)

• - [CRÍTICO] Execução de comando em SKILL.md:45
• [CRÍTICO] Chave de API codificada em config.js:12

🟡 Médio Risco (1)

• - [AVISO] Fetch sem validação de URL em fetch.js:23

🟢 Baixo Risco (3)

• - [INFO] Falta tratamento de erro em main.js:56

Recomendações

1. 1. Sempre audite antes de instalar skills
2. Verifique URLs de download
3. Não confie em skills com muitas execuções de comando
4. Use Snyk ou ferramentas similares para verificação extra

Instalação

bash
clawhub install seguranca-auditoria

Em Português

Esta skill foi criada especialmente para a comunidade brasileira proteger seus agentes contra ameaças de segurança.