SkillHub的技能安全吗？会不会有恶意代码？

1. 安全审核机制概述

SkillHub 将安全性作为核心考量，建立了一套完整的安全审核体系，确保每个上架技能都经过严格检测。

• 三线并行审核：每个Skill上架前必须通过内容合规过滤、科恩实验室深度漏洞扫描、云鼎实验室AI模型安全评估三条独立审核流水线
• 全部通过才上架：只有当三条审核流水线全部通过时，技能才会被自动上架；任一审核不通过即拒绝上架并通知开发者修改
• 安全评估报告可查：用户安装的每个Skill都附有完整的安全评估报告，可在技能详情页查看具体检测结果

2. 常见安全风险检测

SkillHub 的安全审核覆盖多个维度，重点排查以下安全风险类型：

• 供应链风险：检测技能依赖的第三方包或资源是否存在已知漏洞
• 命令执行风险：分析技能是否包含未经授权的系统命令执行逻辑
• 网络请求与数据外传：监控技能是否存在未经用户许可的数据外传行为
• 文件操作与敏感路径：检查技能对文件系统的操作是否涉及敏感目录或关键系统文件
• Prompt注入风险：评估技能的提示词是否可能被恶意利用进行注入攻击
• 远程脚本执行：检测技能是否会从远程位置下载并执行未知脚本
• 可疑编码/混淆：识别代码中是否存在故意混淆或隐藏的可疑逻辑

3. 安全检测结论示例

根据SkillHub官网上多个技能的安全评估报告样本：

• 通过安全检测：表明该技能在科恩实验室和云鼎实验室的检测中未发现安全风险
• 存在潜在风险：如某语音转文字技能在云鼎实验室检测中被标记为"可疑，存在潜在风险"，用户需谨慎评估后决定是否安装
• 安全检测结果由第三方机构出具，仅作参考，不构成平台对Skill绝对安全的承诺。网络安全具有动态性，请您自行做好安全防护和风险管控。