cls-certify

适合做什么

• cls-certify是一款专为企业级安全需求设计的Agent Skill认证工具，通过六维深度检测框架对目标Skill进行全方位安全分析。

主要优点

• 多维度检测体系：覆盖静态代码分析、动态行为模拟、依赖审计、网络流量分析、隐私合规检查、威胁情报六大维度，检测项涵盖140+威胁模式，包括隐蔽的提示词投毒、权限升级诱导、Agent上下文注入等高级攻击向量。
• 智能策略适配：基于代码规模自动选择最优检查策略（MD-ONLY/TARGETED/FULL等），对纯Markdown文档跳过冗余检测，对大型代码库采用精准定位模式，兼顾深度与效率。
• AI辅助验证：引入Agent意图验证机制，通过LLM能力对硬编码候选命中进行最终判定，有效区分真实威胁与文档描述/代码注释，显著降低误报率。
• 分级评级标准：采用S+/S/A/B/C/D六级评级体系，结合强制降级规则（如L2+嵌套拉取直接判D级），结果清晰可执行。
• 完整报告生态：支持Markdown、HTML、PDF、JSON多格式输出，HTML报告包含六边形雷达图可视化，便于向非技术 stakeholders 汇报。

局限与注意点

• 不同 Agent 平台的兼容性和权限模型可能不同，需要实际测试。
• 第三方 Skill 的维护频率、依赖版本和稳定性需要持续关注。

安全与使用风险

• 安装前应审查包内脚本和权限声明，确认是否会访问本地文件、网络或外部账号。
• 涉及 API Key、账号凭证或敏感文件时，建议先在隔离环境中测试。
• 第三方 Skill 的依赖和行为可能随版本变化，使用前应重新核对说明。

适合人群

Skill开发者：在发布前对自身Skill进行安全自检，修复潜在漏洞，争取更高评级；平台运营方：建立Skill入驻安全门槛，批量审核第三方提交的技能；企业安全团队：评估内部使用的Agent Skills风险等级，制定分级使用策略；安全研究人员：分析Skill生态中的新型攻击模式，积累威胁情报；终端用户：在安装来源不明的Skill前进行快速安全评估

版权与下架声明：本页内容由 AI Islands 根据公开资料整理，Skill、代码、文档及安装包版权归原作者或相应权利人所有。本站仅用于信息索引、学习研究和安装便利。若你认为本站展示或下载链接侵犯了你的合法权益，请发送权利证明、相关链接和处理要求至 ai-islands@streamflowintel.com，我们会及时核查并删除或调整相关内容。安装前请自行核对包内权限、依赖项和安全风险。