Get started
Auditorías de seguridad
Auditorías de seguridad
Las auditorías de seguridad de ClawHub te ayudan a decidir si un skill o Plugin es lo bastante seguro para instalarlo. Muestran qué hace una versión, qué autoridad solicita y si algo merece atención adicional antes de poder acceder a archivos, cuentas, credenciales, código o servicios externos.
Las auditorías son señales de seguridad sólidas, pero no garantizan que una versión esté libre de riesgos. Usa siempre tu criterio antes de conceder acceso sensible.
Consulta también Seguridad, Uso aceptable y Moderación y seguridad de la cuenta.
Qué comprobar antes de instalar
Antes de instalar, revisa:
- el estado general de la auditoría
- el nivel de riesgo
- cualquier hallazgo indicado
- las credenciales, permisos o variables de entorno requeridos
- propietario, fuente, versión, registro de cambios, descargas, estrellas y otras señales de confianza
Instala solo contenido que entiendas y en el que confíes.
Estado de la auditoría
El estado de la auditoría te indica cómo reaccionar ante el resultado de la auditoría:
| Estado | Significado |
|---|---|
Pass |
No se encontró ningún problema visible por encima de riesgo bajo. |
Review |
Lee los hallazgos antes de instalar. La versión aún puede ser legítima. |
Warn |
Ten especial cautela. ClawHub encontró una preocupación de alto impacto o una señal de advertencia. |
Malicious |
No instalar. |
Pending |
Las auditorías aún no han terminado. |
Error |
La auditoría no pudo completarse. |
Un Pass es tranquilizador, pero no sustituye tu propio criterio. Esto importa
más en herramientas que pueden publicar contenido, editar datos, ejecutar comandos, leer archivos o
acceder a sistemas de producción.
Nivel de riesgo
El nivel de riesgo describe el radio de impacto: cuánto poder parece tener la versión si la usas según lo previsto.
| Nivel de riesgo | Significado |
|---|---|
Low |
Se encontró poca autoridad sensible o impacto para el usuario. |
Medium |
La versión tiene autoridad significativa, como acceso a cuentas o cambios de datos. |
High |
La versión tiene autoridad de alto impacto, hallazgos graves o señales maliciosas. |
El nivel de riesgo y el estado de la auditoría responden a preguntas distintas:
- El nivel de riesgo pregunta: "¿Cuánto poder hay aquí?"
- El estado de la auditoría pregunta: "¿Qué debo hacer con este resultado?"
Por ejemplo, un skill de publicación puede mostrar Review con riesgo Medium. Eso
no significa que sea malicioso. Significa que el skill parece alineado con su propósito, pero puede
actuar con autoridad significativa sobre la cuenta.
Hallazgos
Los hallazgos explican por qué se mostró un resultado de auditoría. Cada hallazgo suele incluir:
- qué significa
- por qué se marcó
- el contenido relevante del skill o Plugin
- una recomendación
Los hallazgos pueden etiquetarse como Info, Low, Medium, High o Critical. Los hallazgos de mayor
gravedad contribuyen con más fuerza al nivel de riesgo y al estado de la auditoría.
Los hallazgos de baja confianza se ocultan del resumen público de auditoría para que la página se mantenga centrada en evidencia útil.
Qué comprueba ClawHub
ClawHub audita los artefactos de versión enviados, incluidos:
- instrucciones del skill o metadatos del Plugin
- variables de entorno y permisos declarados
- instrucciones de instalación y metadatos del paquete
- archivos incluidos y manifiestos de archivos
- metadatos de compatibilidad y capacidades
La pregunta principal es la coherencia: ¿el nombre, resumen, metadatos, autoridad solicitada y contenido real encajan con lo que los usuarios esperarían razonablemente?
El comportamiento potente no es automáticamente malo. Muchas herramientas útiles necesitan credenciales, comandos locales, API de proveedor o instalaciones de paquetes. La auditoría comprueba si ese poder es esperado, divulgado y proporcional.
Las páginas de artefactos enlazan a la auditoría completa en:
/<owner>/skills/<slug>/security-auditLa página de auditoría combina:
- SkillSpector
- VirusTotal
- Análisis de riesgos
VirusTotal
ClawHub usa VirusTotal como telemetría de malware en la pila de auditoría. VirusTotal es un estándar de confianza en la industria para reputación de archivos y análisis de malware, y nuestra colaboración permite que ClawHub añada inteligencia de seguridad más amplia a la revisión de skills y Plugins.
VirusTotal es especialmente útil para artefactos maliciosos conocidos, detecciones de motores y señales de reputación que complementan la revisión de ClawHub consciente de agentes. Cuando hay recuentos de motores de proveedores disponibles, la auditoría los resume en lenguaje claro, como:
62/62 vendors flagged this skill as clean.o:
2/64 vendors flagged this skill as malicious, 1/64 flagged it as suspicious, and 61/64 flagged it as clean.Cuando ClawHub no tiene telemetría de recuento de proveedores que resumir, la auditoría dice:
No VirusTotal findingsVirusTotal sigue siendo telemetría. No sustituye el análisis de riesgos propio de ClawHub consciente de artefactos.
Análisis de riesgos
El análisis de riesgos está impulsado internamente por ClawScan, el sistema propio de auditoría de seguridad de ClawHub. Revisa cada versión como un artefacto orientado a agentes: instrucciones, metadatos, permisos declarados, archivos, señales de capacidades, señales de análisis estático, hallazgos de SkillSpector, telemetría de VirusTotal y contexto proporcionado por el publicador. Las señales de análisis estático son contexto interno para esta revisión; no son una sección pública de auditoría independiente ni un veredicto que bloquee la instalación.
El análisis de riesgos usa el OWASP Agentic Skills Top 10 como marco para riesgos como inyección de prompts, uso indebido de herramientas, exposición de credenciales, ejecución insegura, envenenamiento de memoria o contexto y agencia excesiva.
ClawScan no trata una capacidad de aspecto preocupante como automáticamente maliciosa. Pregunta si la capacidad está divulgada, alineada con el propósito y respaldada por el caso de uso declarado de la versión.
