effectorHQ/effector-audit

# effector-audit [](https://www.npmjs.com/package/@effectorhq/audit) [](https://github.com/effectorHQ/effector-audit/actions/workflows/test.yml) [](#) **Effector 包的安全扫描器（仅限静态分析）。** ## 信任危机 2026年2月18日，Snyk 发布了 [ToxicSkills 报告](https://snyk.io/blog/toxicskills/)。调查结果非常严重：**36% 的 ClawHub skills 包含 prompt 注入或恶意 payload。** ClawHavoc 活动植入了 1,184 多个针对开发者的恶意 skills。Trend Micro 证实了通过社区发布的 skills 传播 Atomic macOS Stealer 的情况。Microsoft、Cisco 和 1Password 均发布了独立分析报告，证实了这种威胁的系统性本质。 根本原因并不是一个 bug，而是架构上的缺失：**没有代码签名，没有安全审查，也没有针对 AI agent 能力的正式权限模型。** 任何人都可以向 ClawHub 发布 skill。每个人都只能盲目信任它。 这就像是 2018 年的 npm —— 在 `npm audit`、lockfiles 和 Sigstore 出现之前。只不过现在的风险更高，因为 AI agent 的能力不仅仅是运行代码。它们控制着 AI 在现实世界中的行为：读取你的文件、调用 API、发送消息、修改数据库。 `effector-audit` 弥补了这一空白。 ## 安装 ``` npm install @effectorhq/audit ``` 你也可以直接使用 CLI 而无需全局安装： ``` npx @effectorhq/audit scan ./my-skill npx @effectorhq/audit scan ./my-skill --format json ``` 查看 npm 上发布的包：**https://www.npmjs.com/package/@effectorhq/audit** ## 功能说明 ### 1. 静态分析（已实现） 扫描 Effector 包以查找已知的漏洞模式（无需执行沙箱）： ``` npx @effectorhq/audit scan ./my-skill/ ✗ CRITICAL prompt-injection Line 23: System prompt override detected ✗ HIGH data-exfiltration Line 47: Unscoped network access to external domain ⚠ MEDIUM permission-creep Network/filesystem/subprocess usage without declared permissions 2 critical, 1 warning — audit failed ``` **检测模式包括：** - SKILL.md 内容中的 prompt 注入和越狱尝试 - 数据泄露途径（无范围限制的网络访问、文件系统访问） - 混淆指令（base64、unicode 技巧、不可见文本） ### 2. 权限漂移检查（已实现） 将声明的权限与实际的能力行为进行交叉比对： ``` npx @effectorhq/audit permissions ./my-skill/ Declared permissions: ✓ network:external Detected behavior: ✗ network:evil.com (fetch/curl — NOT DECLARED) ✗ write:filesystem (fs.writeFileSync — NOT DECLARED) Permission drift detected: 2 undeclared capabilities ``` ## 尚未实现的功能 README 此前描述了签名/供应链验证功能。这些是**路线图（roadmap）**项目，并不在当前的代码库中： - 加密签名 / 验证 - 供应链验证 / SBOM 生成 - GitHub Action `effector-audit-action` ## 集成 ### CI/CD 流水线 ``` # 在你的 publish 流水线中 npx @effectorhq/audit scan . && npx @effectorhq/audit permissions . && npm publish ``` ### Registry Gate（注册表网关） `effector-audit` 被设计为一种注册表网关 —— ClawHub、MCP Registry 或任何未来的能力注册表都可以要求 Effectors 经过签名和审计后才能被收录。 ## 架构 ``` effector-audit ├── scanner/ # Static analysis engine │ ├── rules/ # Detection rules (prompt injection, exfiltration, etc.) │ ├── analyzer.js # AST + content analysis for SKILL.md and code │ └── reporter.js # Output formatting (terminal, JSON) ├── permissions/ # Permission analysis │ └── diff.js # Permission drift detection ``` ## 路线图 - [x] **v0.1** — 核心扫描器（prompt 注入 + 数据泄露 + 基本权限蔓延信号） - [x] **v0.1** — 权限漂移检查（`effector.toml` 与检测到的行为进行比对） - [ ] **v0.2** — 签名 + 验证 - [ ] **v0.3** — 供应链验证 / SBOM - [ ] **v0.4** — GitHub Action - [ ] **v0.5** — 类型契约验证（类型目录） - [ ] **v1.0** — 生产就绪，具备 registry-gate 能力 ## 许可证 本项目目前基于 [Apache License, Version 2.0](LICENSE.md) 授权。 _{effectorHQ 工作室出品。我们为抢占先机的 AI 打造双手。}

标签：AI安全, Chat Copilot, DNS 解析, GNU通用公共许可证, MITM代理, Node.js, npm包, SAST, ToxicSkills, 大模型安全, 安全合规, 数据可视化, 数据窃取, 文档结构分析, 暗色界面, 权限漂移, 盲注攻击, 网络代理, 自定义脚本, 错误基检测, 静态代码分析