https://github.com/brucevanfdm/agent-skills-guard

一款提供Agent Skills安全扫描和可视化管理的桌面应用 | A desktop application that provides security scanning and visual management for Agent Skills.
https://github.com/brucevanfdm/agent-skills-guard

agent-skills claude-code skill-marketplace skills-guard skills-manager

Last synced: 5 months ago
JSON representation

一款提供Agent Skills安全扫描和可视化管理的桌面应用 | A desktop application that provides security scanning and visual management for Agent Skills.

• Host: GitHub
• URL: https://github.com/brucevanfdm/agent-skills-guard
• Owner: brucevanfdm
• Created: 2025-12-28T16:14:23.000Z (6 months ago)
• Default Branch: main
• Last Pushed: 2026-01-22T16:28:38.000Z (5 months ago)
• Last Synced: 2026-01-23T07:12:25.497Z (5 months ago)
• Topics: agent-skills, claude-code, skill-marketplace, skills-guard, skills-manager
• Language: TypeScript
• Homepage: https://x.com/brucevanfdm
• Size: 31.1 MB
• Stars: 192
• Watchers: 3
• Forks: 20
• Open Issues: 2
• Metadata Files:
  • Readme: README.md
  • Changelog: CHANGELOG.md

Awesome Lists containing this project

• awesome-agent-skills - agent-skills-guard

README

          




# 🛡️ Agent Skills Guard

### 让 Claude Code 技能管理像应用商店一样简单安全

[![Version](https://img.shields.io/badge/version-0.9.11-blue.svg)](https://github.com/brucevanfdm/agent-skills-guard/releases)

[![License](https://img.shields.io/badge/license-MIT-green.svg)](LICENSE)

[![Platform](https://img.shields.io/badge/platform-macOS%20%7C%20Windows-lightgrey.svg)](https://github.com/brucevanfdm/agent-skills-guard/releases)

[English](README_EN.md) | 简体中文



---

## ⚡ 为什么选择 Agent Skills Guard？

当你享受 Claude Code 的 AI 辅助工作时，是否遇到这些困扰：

- 🔐 **安全顾虑**：想安装新技能，但担心代码风险，不知道如何判断？

- 📦 **管理混乱**：技能散落在各处，不知道哪些该留、哪些该删？

- 🔍 **发现困难**：不知道去哪找优质的社区技能，错过了很多好工具？

**Agent Skills Guard** 专为你解决这些问题。它把原本隐藏在命令行和文件夹中的技能世界，变成了一个**可视化、可管理、可信赖**的应用商店体验。



**🎯 三秒钟了解核心价值：可视化管理 + 安全扫描 + 精选仓库**

[⭐ 立即下载](https://github.com/brucevanfdm/agent-skills-guard/releases) | [📖 使用教程](#-快速开始)



---

## 🌟 四大核心特色

### 🔄 全生命周期管理

像管理手机应用一样管理 Claude Code 技能，从发现、安装、更新到卸载，全流程可视化操作。

- ✅ **一键安装**：从精选仓库或自定义仓库直接安装

- 🔌 **插件形态安装**：支持以插件形式安装技能，使用 Claude 非交互子命令，避免兼容性问题

- 🔄 **智能更新**：自动检测技能和插件更新，支持在线升级

- 🗑️ **轻松卸载**：支持多路径安装管理，按需清理

- 📂 **自定义路径**：灵活选择技能安装位置

### 🛡️ 社区领先安全扫描

**覆盖 8 大风险类别，22 项硬触发保护**，让技能使用更安心。

- 🔍 **8 大风险类别**：破坏性操作、远程代码执行、命令注入、网络外传、权限提升、持久化、敏感信息泄露、敏感文件访问

- 🚫 **22 项硬触发规则**：高危操作直接阻止，不让用户冒险

- 🔗 **符号链接检测**：防止符号链接攻击

- ⚡ **并行扫描加速**：并行扫描技术大幅提升检测速度

- 📊 **安全评分系统**：0-100 分直观展示，一目了然

- 📝 **详细扫描报告**：告诉你哪里有风险、为什么有风险、如何修复

- 🎯 **置信度分级**：High/Medium/Low 三级置信度，减少误报

### 🌟 精选资源市场

内置人工精选的优质技能仓库，同步 Claude 插件市场，发现优质资源从未如此简单。

- 📚 **精选技能库**：人工精心筛选的优质技能

- 🔌 **Claude 插件支持**：同步本地已安装插件，纳入安全扫描与风险统计

- 🌟 **精选插件市场**：新增「精选市场」标签页，支持在线刷新推荐列表并缓存

- 🔄 **自动刷新**：启动时静默更新，保持最新

- ➕ **自定义仓库**：支持添加任意 GitHub 仓库

### 🎨 现代化可视化管理

告别命令行，享受苹果简约风格的直观界面。

- 🎨 **苹果简约主题**：清爽的 macOS 风格设计

- 📱 **侧边栏导航**：直观的导航体验

- ⚡ **流畅动画**：精心打磨的交互体验

- 🌐 **中英双语**：完整的中英文界面支持

- 📐 **响应式布局**：完美适配各种屏幕尺寸

---

## 🆚 传统方式 vs Agent Skills Guard

| 功能场景                | 传统方式                    | Agent Skills Guard                          |

| ----------------------- | --------------------------- | ------------------------------------------- |

| **发现技能/插件** | ❌ 漫无目的地搜索 GitHub    | ✅ 精选仓库+插件市场，一键浏览              |

| **安全检查**      | ❌ 手动阅读代码，耗时易遗漏 | ✅ 8大类别自动扫描，性能提升3-5倍，秒出结果 |

| **安装技能**      | ❌ 命令行操作，容易出错     | ✅ 可视化界面，支持插件形态安装，点击即装   |

| **管理技能/插件** | ❌ 文件夹翻找，不知道用途   | ✅ 直观列表，状态一目了然                   |

| **更新技能/插件** | ❌ 手动检查，重复操作       | ✅ 自动检测，批量更新                       |

| **卸载技能**      | ❌ 手动删除，担心残留       | ✅ 一键卸载，自动清理                       |

---

## 🚀 快速开始

### 📥 安装

访问 [GitHub Releases](https://github.com/brucevanfdm/agent-skills-guard/releases) 下载最新版本：

- **macOS**：下载 `.dmg` 文件，拖拽安装

- **Windows**：下载 `.msi` 安装包，双击安装



*初次启动若提示安全警告，请放心忽略*



### 🎯 第一次使用

**第一步：浏览和安装**

- 在「市场」浏览和搜索技能

- 点击「安装」，系统会自动进行安全扫描

- 查看安全评分和扫描报告，放心安装

**第二步：管理已安装技能**

- 在「概览」页面一键扫描所有技能的安全状态

- 在「已安装」查看详细信息、更新或卸载

## 💎 界面展示

### 📊 概览页面

一眼看清所有技能的安全状态，风险分类统计，问题详情一览无余。

![概览页面](screen-shot/overview.png)

### 🛡️ 安全扫描

详细的扫描结果，包含安全评分、风险等级、问题列表。

![扫描结果](screen-shot/scanresult.png)

### 📦 已安装

查看所有已安装技能、插件、市场，支持多路径管理、批量更新和卸载。

![我的技能](screen-shot/myskills.png)

![技能更新](screen-shot/skillsupdate.png)

### 🛒 市场

从人工精选的市场中探索和安装社区技能。

![技能市场](screen-shot/skillsmarket.png)

### 🗄️ 仓库

添加和管理技能来源，内置人工精选市场与GitHub仓库，定期更新。

![仓库配置](screen-shot/repositories.png)

---

## 🛡️ 安全扫描详解

### 扫描机制

我们的安全扫描引擎会分析技能代码的每个文件，检测潜在风险：

- **并行扫描加速**：采用并行扫描技术，大幅提升本地已安装技能/插件的扫描速度

- **符号链接检测**：发现符号链接立即触发硬阻止，防止攻击

- **多格式支持**：支持 `.js`、`.ts`、`.py`、`.sh`、`.rs` 等多种代码格式

- **平台适配优化**：补齐 UTF-16 解码与文本可信度校验，扩展 Windows/多语言环境支持

### 评分系统原理

#### 如何计算安全评分？

安全评分采用**百分制扣分机制**，从 100 分开始，根据检测到的风险逐项扣分：

1. **初始分数**：100 分

2. **风险扣分**：每检测到一个风险，根据其权重扣减相应分数

3. **同规则去重**：同一规则在同一文件内只扣一次分

4. **分数累加**：所有风险扣分累加，最低至 0 分

#### 评分示例

假设检测到以下风险：

| 风险项                 | 权重 | 说明                               |

| ---------------------- | ---- | ---------------------------------- |

| `rm -rf /`（硬触发） | 100  | 直接禁止安装                       |

| `curl \| bash`        | 90   | 扣 90 分                           |

| `eval()`             | 6    | 扣 6 分                            |

| `os.system()`        | 6    | 扣 6 分                            |

| 硬编码 API Key         | 60   | 扣 60 分                           |

| **总分**         | -    | 100 - 90 - 6 - 6 - 60 =**0** |

由于存在硬触发规则，直接阻止安装。

#### 评分等级

- **90-100 分（✅ 安全）**：可放心使用

  - 无或仅有极低风险项

  - 未检测到硬触发规则

- **70-89 分（⚠️ 低风险）**：轻微风险，建议查看详情

  - 有少量低风险项

  - 可根据需求决定是否使用

- **50-69 分（⚠️ 中等风险）**：有一定风险，谨慎使用

  - 存在中等风险项

  - 建议仔细审查代码后再使用

- **30-49 分（🔴 高风险）**：风险较高，不建议安装

  - 多个高风险项

  - 强烈建议寻找替代方案

- **0-29 分（🚨 严重风险）**：严重威胁，禁止安装

  - 触发硬触发规则

  - 系统直接阻止安装

### 硬触发保护机制

**什么是硬触发规则？**

硬触发规则是系统设置的"红线"，一旦触发立即阻止安装，不给用户冒险的机会。这些规则对应的是**极度危险**的操作，包括：

- 🚨 **破坏性操作**（8 项）：`rm -rf /`、磁盘擦除、格式化等

- 🚨 **远程代码执行**（10 项）：`curl | bash`、反弹 Shell、PowerShell 编码命令等

- 🚨 **权限提升**（1 项）：sudoers 文件修改

- 🚨 **持久化后门**（1 项）：SSH 密钥注入

- 🚨 **敏感文件访问**（2 项）：读取 shadow 文件、Windows 凭据库

共计 **22 项硬触发规则**，覆盖最常见的攻击向量。

### 置信度分级

为了减少误报，每个风险都标注了置信度等级：

- **🎯 High（高置信度）**：误报可能性低，应重点关注

- **🎯 Medium（中等置信度）**：有一定误报可能，建议人工审查

- **🎯 Low（低置信度）**：误报可能性较高，仅供参考

**评分调整**：低置信度风险在评分时权重较低，避免误报导致评分过低。

### 风险分类

| 类别                   | 检测内容               | 示例                              |

| ---------------------- | ---------------------- | --------------------------------- |

| **破坏性操作**   | 删除系统文件、磁盘擦除 | `rm -rf /`、`mkfs`            |

| **远程代码执行** | 管道执行、反序列化攻击 | `curl \| bash`、`pickle.loads` |

| **命令注入**     | 动态命令拼接           | `eval()`、`os.system()`       |

| **网络外传**     | 数据外传到远程服务器   | `curl -d @file`                 |

| **权限提升**     | 提权操作               | `sudo`、`chmod 777`           |

| **持久化**       | 后门植入               | `crontab`、SSH 密钥注入         |

| **敏感信息泄露** | 硬编码密钥、Token      | AWS Key、GitHub Token             |

| **敏感文件访问** | 访问系统敏感文件       | `~/.ssh/`、`/etc/passwd`      |

### 免责声明

安全扫描基于预设规则，旨在帮助识别潜在风险，但不能保证 100% 准确，可能存在误报或漏报。建议在安装前仔细阅读技能源代码，对来自不可信来源的技能格外谨慎。使用本程序所带来的所有后果由用户自行承担。

---

## 📝 更新日志

[查看完整更新日志](https://github.com/brucevanfdm/agent-skills-guard/releases)

---

## 📦 下载与反馈

### 下载

- 📦 [GitHub Releases](https://github.com/brucevanfdm/agent-skills-guard/releases) - 获取最新版本

### 联系方式

有问题或建议？欢迎通过以下方式联系：

- 💬 [GitHub Issues](https://github.com/brucevanfdm/agent-skills-guard/issues) - 报告问题或提出功能建议

- 🐦 [X/Twitter](https://x.com/brucevanfdm) - 关注项目动态

- 💬 **Agent Skills 安全交流群**



![交流群](screen-shot/agentskillsgroup.jpg)



---

## 🔧 开发者

如果你是开发者，想自行编译或贡献代码：

```bash

# 1. 克隆项目

git clone https://github.com/brucevanfdm/agent-skills-guard.git

cd agent-skills-guard

# 2. 安装依赖（需要 pnpm）

pnpm install

# 3. 开发模式运行

pnpm dev

# 4. 构建生产版本

pnpm build

```

**技术栈**：React 18 + TypeScript + Tauri 2 + Tailwind CSS

---

## ⭐ Star History

[![Star History Chart](https://api.star-history.com/svg?repos=brucevanfdm/agent-skills-guard&type=Date)](https://star-history.com/#brucevanfdm/agent-skills-guard&Date)

---

## 📜 许可证

MIT License - 自由使用，自由分享

---



Made by [Bruce](https://github.com/brucevanfdm)

如果这个项目对你有帮助，请给个 ⭐️ Star 支持一下！

[⬆ 回到顶部](#readme-top)