English简体中文繁體中文日本語EspañolPortuguês (BR)한국어DeutschFrançaishiالعربيةItalianoTiếng ViệtNederlandsTürkçeУкраїнськаBahasa IndonesiaPolskiruفارسیไทย
View as MarkdownView this page as plain textOpen in ChatGPTAsk questions about this pageOpen in ClaudeAsk questions about this pageOpen in PerplexityAsk questions about this page

Get started

सुरक्षा ऑडिट

सुरक्षा ऑडिट

ClawHub सुरक्षा ऑडिट आपको यह तय करने में मदद करते हैं कि कोई Skills या Plugin इंस्टॉल करने के लिए पर्याप्त सुरक्षित है या नहीं। वे दिखाते हैं कि कोई रिलीज़ क्या करती है, वह कौन-सा अधिकार मांगती है, और फ़ाइलों, खातों, क्रेडेंशियल, कोड या बाहरी सेवाओं तक पहुंचने से पहले क्या किसी चीज़ पर अतिरिक्त ध्यान देने की ज़रूरत है।

ऑडिट मजबूत सुरक्षा संकेत हैं, लेकिन वे इस बात की गारंटी नहीं हैं कि कोई रिलीज़ जोखिम-मुक्त है। संवेदनशील पहुंच देने से पहले हमेशा विवेक से काम लें।

यह भी देखें सुरक्षा, स्वीकार्य उपयोग, और मॉडरेशन और खाता सुरक्षा

इंस्टॉल करने से पहले क्या जांचें

इंस्टॉल करने से पहले, समीक्षा करें:

  • समग्र ऑडिट स्थिति
  • जोखिम स्तर
  • सूचीबद्ध कोई भी निष्कर्ष
  • आवश्यक क्रेडेंशियल, अनुमतियां या पर्यावरण चर
  • मालिक, स्रोत, संस्करण, चेंजलॉग, डाउनलोड, स्टार और अन्य भरोसे के संकेत

केवल वही सामग्री इंस्टॉल करें जिसे आप समझते हैं और जिस पर भरोसा करते हैं।

ऑडिट स्थिति

ऑडिट स्थिति बताती है कि आपको ऑडिट परिणाम पर कैसे प्रतिक्रिया देनी चाहिए:

स्थिति अर्थ
Pass कम जोखिम से ऊपर कोई दृश्यमान समस्या नहीं मिली।
Review इंस्टॉल करने से पहले निष्कर्ष पढ़ें। रिलीज़ फिर भी वैध हो सकती है।
Warn अतिरिक्त सावधानी बरतें। ClawHub को उच्च-प्रभाव वाली चिंता या चेतावनी संकेत मिला।
Malicious इंस्टॉल न करें।
Pending ऑडिट अभी समाप्त नहीं हुए हैं।
Error ऑडिट पूरा नहीं किया जा सका।

Pass आश्वस्त करता है, लेकिन यह आपके अपने विवेक की जगह नहीं लेता। यह उन टूल के लिए सबसे ज़्यादा मायने रखता है जो सामग्री प्रकाशित कर सकते हैं, डेटा संपादित कर सकते हैं, कमांड चला सकते हैं, फ़ाइलें पढ़ सकते हैं या प्रोडक्शन सिस्टम तक पहुंच सकते हैं।

जोखिम स्तर

जोखिम स्तर ब्लास्ट रेडियस बताता है: यदि आप रिलीज़ को उसके इच्छित तरीके से उपयोग करते हैं, तो उसके पास कितनी शक्ति दिखाई देती है।

जोखिम स्तर अर्थ
Low बहुत कम संवेदनशील अधिकार या उपयोगकर्ता प्रभाव मिला।
Medium रिलीज़ के पास सार्थक अधिकार है, जैसे खाता पहुंच या डेटा परिवर्तन।
High रिलीज़ के पास उच्च-प्रभाव वाला अधिकार, गंभीर निष्कर्ष या दुर्भावनापूर्ण संकेत हैं।

जोखिम स्तर और ऑडिट स्थिति अलग-अलग प्रश्नों का उत्तर देते हैं:

  • जोखिम स्तर पूछता है: "यहां कितनी शक्ति है?"
  • ऑडिट स्थिति पूछती है: "मुझे इस परिणाम के साथ क्या करना चाहिए?"

उदाहरण के लिए, कोई प्रकाशन Skills Medium जोखिम के साथ Review दिखा सकती है। इसका अर्थ यह नहीं है कि वह दुर्भावनापूर्ण है। इसका अर्थ है कि Skills उद्देश्य के अनुरूप दिखाई देती है, लेकिन सार्थक खाता अधिकार के साथ कार्य कर सकती है।

निष्कर्ष

निष्कर्ष समझाते हैं कि कोई ऑडिट परिणाम क्यों दिखाया गया। प्रत्येक निष्कर्ष में आमतौर पर शामिल होता है:

  • इसका क्या अर्थ है
  • इसे क्यों फ़्लैग किया गया
  • संबंधित Skills या Plugin सामग्री
  • एक अनुशंसा

निष्कर्षों को Info, Low, Medium, High या Critical के रूप में लेबल किया जा सकता है। अधिक गंभीरता वाले निष्कर्ष जोखिम स्तर और ऑडिट स्थिति में अधिक मजबूत योगदान देते हैं।

कम-विश्वास वाले निष्कर्ष सार्वजनिक ऑडिट रोलअप से छिपाए जाते हैं ताकि पेज उपयोगी प्रमाणों पर केंद्रित रहे।

ClawHub क्या जांचता है

ClawHub सबमिट किए गए रिलीज़ आर्टिफैक्ट का ऑडिट करता है, जिनमें शामिल हैं:

  • Skills निर्देश या Plugin मेटाडेटा
  • घोषित पर्यावरण चर और अनुमतियां
  • इंस्टॉल निर्देश और पैकेज मेटाडेटा
  • शामिल फ़ाइलें और फ़ाइल मैनिफेस्ट
  • संगतता और क्षमता मेटाडेटा

मुख्य प्रश्न सामंजस्य है: क्या नाम, सारांश, मेटाडेटा, मांगा गया अधिकार और वास्तविक सामग्री उस चीज़ से मेल खाते हैं जिसकी उपयोगकर्ता उचित रूप से अपेक्षा करेंगे?

शक्तिशाली व्यवहार अपने आप बुरा नहीं होता। कई उपयोगी टूल को क्रेडेंशियल, स्थानीय कमांड, प्रदाता API या पैकेज इंस्टॉल की ज़रूरत होती है। ऑडिट जांचता है कि क्या वह शक्ति अपेक्षित, प्रकट और अनुपातिक है।

आर्टिफैक्ट पेज पूर्ण ऑडिट से यहां लिंक करते हैं:

text
/<owner>/skills/<slug>/security-audit

ऑडिट पेज मिलाता है:

  1. SkillSpector
  2. VirusTotal
  3. जोखिम विश्लेषण

VirusTotal

ClawHub ऑडिट स्टैक में VirusTotal को मैलवेयर टेलीमेट्री के रूप में उपयोग करता है। VirusTotal फ़ाइल प्रतिष्ठा और मैलवेयर स्कैनिंग के लिए एक भरोसेमंद उद्योग मानक है, और हमारी साझेदारी ClawHub को Skills और Plugin समीक्षा में व्यापक सुरक्षा इंटेलिजेंस जोड़ने देती है।

VirusTotal ज्ञात दुर्भावनापूर्ण आर्टिफैक्ट, इंजन हिट और प्रतिष्ठा संकेतों के लिए विशेष रूप से उपयोगी है, जो ClawHub की एजेंट-सचेत समीक्षा को पूरक करते हैं। जब विक्रेता इंजन गिनती उपलब्ध होती है, तो ऑडिट उन्हें सरल भाषा में सारांशित करता है, जैसे:

text
62/62 vendors flagged this skill as clean.

या:

text
2/64 vendors flagged this skill as malicious, 1/64 flagged it as suspicious, and 61/64 flagged it as clean.

जब ClawHub के पास सारांशित करने के लिए कोई विक्रेता-गिनती टेलीमेट्री नहीं होती, तो ऑडिट कहता है:

text
No VirusTotal findings

VirusTotal टेलीमेट्री ही रहता है। यह ClawHub के अपने आर्टिफैक्ट-सचेत जोखिम विश्लेषण की जगह नहीं लेता।

जोखिम विश्लेषण

जोखिम विश्लेषण आंतरिक रूप से ClawScan, ClawHub की अपनी सुरक्षा ऑडिट प्रणाली, द्वारा संचालित है। यह प्रत्येक रिलीज़ की समीक्षा एजेंट-सामना करने वाले आर्टिफैक्ट के रूप में करता है: निर्देश, मेटाडेटा, घोषित अनुमतियां, फ़ाइलें, क्षमता संकेत, स्थिर स्कैन संकेत, SkillSpector निष्कर्ष, VirusTotal टेलीमेट्री और प्रकाशक द्वारा दिया गया संदर्भ। स्थिर स्कैन संकेत इस समीक्षा के लिए आंतरिक संदर्भ हैं; वे स्वतंत्र सार्वजनिक ऑडिट अनुभाग या इंस्टॉल-रोकने वाला निर्णय नहीं हैं।

जोखिम विश्लेषण OWASP Agentic Skills Top 10 को prompt injection, टूल दुरुपयोग, क्रेडेंशियल उजागर होना, असुरक्षित निष्पादन, मेमोरी या संदर्भ poisoning, और अत्यधिक agency जैसे जोखिमों को देखने के लेंस के रूप में उपयोग करता है।

ClawScan किसी डरावनी दिखने वाली क्षमता को अपने आप दुर्भावनापूर्ण नहीं मानता। यह पूछता है कि क्या क्षमता प्रकट की गई है, उद्देश्य के अनुरूप है और रिलीज़ के बताए गए उपयोग मामले द्वारा समर्थित है।

Was this useful?
On this page

On this page