任务 ID: task-skillaudit | 文件: session.md | 最后修改: 2026-02-23 14:55:00
task-skillaudit Session Log
Reviewer 独立复核报告
时间: 2026-02-23
执行人: reviewer agent
说明: 以下审计系完全独立阅读所有原始文件后得出,不依赖爱衣初审结论
Skill 1: multi-search-engine v2.0.1
文件列表及审计结果
SKILL.md
- 无隐藏指令、无注释内嵌 injection、无角色覆盖语句
- frontmatter 仅含 name/description,语义正常
- 所有示例代码仅使用
web_fetch,目标 URL 均为文件内已声明的合法搜索引擎域名
- ✅ 干净
config.json
- 17 条记录,每条仅含 name / url / region 三字段
- 所有 URL 域名核查:
- baidu.com、bing.com(cn.bing.com)、so.com(360)、sogou.com、wx.sogou.com、so.toutiao.com、jisilu.cn
- google.com、google.com.hk、duckduckgo.com、search.yahoo.com、startpage.com、search.brave.com、ecosia.org、qwant.com、wolframalpha.com
- 无重定向参数:URL 参数仅有
{keyword} 占位符,无 redirect/next/url 等可被攻击者注入跳转目标的参数
- 无隐藏追踪参数:没有发现额外的 utm_、ref=、tracker 类参数
- ✅ 干净
metadata.json
- 仅含 name、version、description、engines(数字17)、requires_api_key(false)五个字段
- 无可执行内容
- ✅ 干净
CHANGELOG.md
- 三个版本记录(v1.0.0、v2.0.0、v2.0.1)内容简洁
- v2.0.1 提到 "Removed gov-related content":结合 v1.0.0 仅含8个国内引擎的历史,合理推断为早期版本曾含政府搜索入口(如 gov.cn 站内搜索),后删除;当前版本中已无痕迹
- ✅ 无风险
CHANNELLOG.md
- 实质是该 skill 的中文简介 + 功能摘要 + 少量使用示例
- 内容与 SKILL.md 一致,无额外指令
- ✅ 干净
references/international-search.md(23KB 最大文件,重点审查)
- 内容为搜索操作符教程,结构合法(表格 + 代码块)
- 注释/隐藏内容检查:Markdown 无
<!-- ... --> 注释、无零宽字符、无 Unicode 混淆字符(未发现可视外异常)
- injection payload 检查:所有"示例"仅演示真实搜索用途,无
ignore previous instructions、无 system:、无 [INST] 等注入标志
- URL 域名再核查:所有 URL 仍指向上述17个合法域名,无例外(包括 scholar.google.com、webcache.googleusercontent.com 均属 Google 官方子域)
- 高危操作符示例(
intext:password filetype:txt、intitle:"index of"):属于真实存在的 Google dork 示例,是合法的搜索教学内容,无证据表明用于引导攻击目标系统
- ✅ 干净
独立评分
| 维度 |
风险等级 |
说明 |
| 恶意代码风险 |
低 |
无脚本,纯 URL 配置,调用路径受限于 web_fetch |
| 提示词注入风险 |
低 |
所有 Markdown 文件均无角色操纵或系统提示覆盖语句 |
| 依赖链风险 |
低 |
无外部依赖,无 API Key,无二进制调用 |
复核结论: ✅ 通过,与爱衣初审一致
Skill 2: exa-web-search-free v1.0.1
文件列表及审计结果
SKILL.md
- frontmatter 含 name、description、metadata(内嵌 JSON 字符串)
- metadata 字段:
{"clawdbot":{"emoji":"🔍","requires":{"bins":["mcporter"]}}}
- 声明依赖二进制
mcporter,此为 OpenClaw 生态已知工具,声明本身透明合规
- Setup 部分要求执行两条 bash 命令:
bash
mcporter list exa
mcporter config add exa https://mcp.exa.ai/mcp
mcporter list exa:只读操作,无风险mcporter config add exa https://mcp.exa.ai/mcp:写入本地 mcporter 配置,目标 URL 为 Exa 官方 MCP 端点,无重定向、无第三方域名- 中间人风险评估:mcporter 使用 HTTPS 连接
mcp.exa.ai,TLS 保护传输层;Exa 为已知 AI 搜索公司(公开可查)。无法在不审计 mcporter 二进制本身的情况下完全排除 mcporter 层面的 MITM,但此属于供应链风险而非本 skill 的恶意行为
- 所有
mcporter call 示例参数(query、numResults、type、tokensNum、companyName)均为正常业务参数,无注入
- 无
exec、shell、eval 类高危工具调用
- ✅ 文件本身干净
references/examples.md
- 纯使用示例文件,所有示例均为
mcporter call 'exa.*' 格式
- 无角色操纵指令、无隐藏注释
- 涉及
people_search_exa(搜索真实人物信息):属于 Exa API 合法功能,skill 本身未强制启用(需主动配置 exa-full)
deep_researcher_start/check:异步研究工具,参数均为正常查询,无风险- ✅ 干净
mcporter 调用链中间人风险专项评估
爱衣初审标记此为关注点,本审查重点复核:
- skill 本身不引入中间人:skill 仅指示调用官方 MCP 端点
https://mcp.exa.ai/mcp,域名归属 Exa AI 公司(exa.ai),可公开验证
- mcporter 二进制未在本次审计范围内:skill 审计仅覆盖 skill 文件(SKILL.md、references/),mcporter 二进制本身是独立的供应链依赖,其安全性属于 OpenClaw 平台侧责任
- 结论:skill 文件层面无 MITM 引导,中间人风险取决于 mcporter 实现,评级维持为低-中(中因无法在 skill 范围内完全排除)
独立评分
| 维度 |
风险等级 |
说明 |
| 恶意代码风险 |
低 |
无可执行脚本,bash 命令为 mcporter 标准调用 |
| 提示词注入风险 |
低 |
无角色覆盖或系统提示操纵语句 |
| 依赖链风险 |
低-中 |
依赖 mcporter 二进制(超出 skill 审计范围)+ Exa 公共端点(可靠性受限) |
复核结论: ✅ 通过,与爱衣初审一致;mcporter 安装前需确认来源
总结
| Skill |
恶意代码 |
提示词注入 |
依赖链 |
综合结论 |
| multi-search-engine v2.0.1 |
低 |
低 |
低 |
✅ 可安全使用 |
| exa-web-search-free v1.0.1 |
低 |
低 |
低-中 |
✅ 可安全使用(确认 mcporter 来源后) |
与爱衣初审结论差异: 无重大分歧。对 exa skill 的 mcporter 中间人风险描述更加细化,但结论一致。
Reviewer 审计完成 — 2026-02-23