什么是 OpenScan？

OpenScan 是一款关键的安全实用程序，旨在保护 Openclaw Skills 生态系统中的开发者。它移植自 Harkonnen 反恶意软件引擎，为 macOS 和 Linux 系统提供深度检测能力，确保二进制文件和脚本可以安全执行。通过分析文件结构并识别危险模式，它为您可能遇到的任何不受信任的代码或第三方依赖项充当守门人。

对于经常安装或评估新自动化工具的开发者来说，这项技能尤其有价值。通过将 OpenScan 集成到您的工作流中，您可以增加一层防御，抵御进程注入、键盘记录和未经授权的网络通信。它确保您的 Openclaw Skills 库中的每个组件在被信任之前都达到基准安全标准。

下载入口:https://github.com/openclaw/skills/tree/main/skills/dev-null321/openscan

安装与下载

1. ClawHub CLI

从源直接安装技能的最快方式。

2. 手动安装

将技能文件夹复制到以下位置之一

优先级：工作区 > 本地 > 内置

3. 提示词安装

将此提示词复制到 OpenClaw 即可自动安装。

OpenScan 应用场景

• 在将新的二进制文件或脚本添加到您的 Openclaw Skills 集合之前对其进行扫描。
• 审计第三方工具依赖项中是否存在可疑的 Shell 模式，例如通过管道传输到 bash 的 curl。
• 通过高熵分析检测可能隐藏恶意负载的加壳或加密二进制文件。
• 验证 macOS 和 Linux 二进制文件的代码签名和安全特性（如 PIE 和 NX）。

1. 用户提供待分析的二进制文件、脚本或目录路径。
2. OpenScan 对 Mach-O (macOS) 或 ELF (Linux) 格式进行二进制解析，以检查可疑的动态库或共享对象。
3. 引擎扫描代表 Shellcode 或危险 API 引用的特定字节序列。
4. 执行脚本分析以识别混淆、权限提升尝试或危险的网络指标。
5. 根据所有发现结果的累积严重程度计算从 0 到 100 的威胁分值。
6. 该工具输出详细报告，并返回与威胁级别相对应的退出代码。

OpenScan 配置指南

要开始将 OpenScan 作为 Openclaw Skills 工具包的一部分使用，请确保您已安装 Node.js 18 或更高版本。按照以下步骤设置扫描器：

# 进入 OpenScan 目录
# 安装依赖项
npm install

# 对本地文件执行测试扫描
node bin/scan.js /path/to/binary

OpenScan 数据架构与分类体系

OpenScan 提供结构化反馈，帮助用户评估其文件的安全性。数据按威胁级别和评分类别进行组织：

使用 --json 标志时，该工具会返回包含 threatScore、findings 数组以及文件元数据的架构，以便与其他 Openclaw Skills 集成。

name: openscan
description: Scan binaries and scripts for malicious patterns before trusting them. Use when installing skills, evaluating unknown binaries, or auditing tool dependencies.
version: 1.0.0
author: Marq Britt
homepage: https://github.com/marqbritt/openscan
metadata:
  openclaw:
    emoji: "???"
    requires:
      node: ">=18"
    platforms:
      - darwin
      - linux

OpenScan

Lightweight malware detection for macOS and Linux binaries/scripts. Ported from the Harkonnen antimalware engine.

What It Detects

Binary Analysis:

• Mach-O (macOS) and ELF (Linux) parsing
• Suspicious dylibs/shared objects (Frida, injection frameworks)
• Missing/invalid code signatures (macOS)
• Disabled security features (PIE, NX, RELRO)
• Packed/encrypted binaries (high entropy)

Pattern Detection:

• Shellcode byte sequences
• Suspicious API references (process injection, keylogging, etc.)
• Network indicators (embedded URLs, IPs)
• Encoded payloads (base64 blobs)

Script Analysis:

• Dangerous shell patterns (curl|bash, eval, etc.)
• Obfuscation indicators
• Privilege escalation attempts

Usage

# Scan a single binary
node bin/scan.js /path/to/binary

# Scan a skill folder
node bin/scan.js /path/to/skill-folder

# JSON output for automation
node bin/scan.js /path --json

# Only show threats
node bin/scan.js /path --quiet

Exit Codes

• 0 - Clean (score ≤ 20)
• 1 - Suspicious (score 21-60)
• 2 - High threat (score > 60)

Threat Scoring

Each file receives a score from 0-100:

Integration with OpenClaw

Use before installing or trusting unknown binaries:

// Example: scan before allowing a skill's binary
const { scanFile } = require('openscan/lib/scanner');

async function checkBinary(binPath) {
  const result = await scanFile(binPath);
  if (result.threatScore > 40) {
    throw new Error(`Binary failed security scan: ${result.findings.join(', ')}`);
  }
  return true;
}

Limitations

• Not a replacement for full antivirus
• Signature-based detection is minimal (no hash database)
• May produce false positives on legitimate security tools
• Cannot detect all obfuscation techniques

Credits

Detection logic ported from Harkonnen antimalware engine.