如何为 Agent Skill 做安全检查

这篇解决什么

Skill 不是普通提示词，它可能调用工具、读文件、发请求和改项目。

最终要得到的不是一段观点，而是：一份 Skill 引入前的安全审查表。

适合谁

想从 GitHub 或社区复制 Skill 到自己项目的人。

操作步骤

1. 先读 Skill 的说明文件，看它声明会做什么。
2. 检查是否包含脚本、联网、文件写入和凭证读取。
3. 在空项目或隔离目录里试运行。
4. 把允许的工具和禁止的目录写清楚。
5. 通过后再放进正式项目，并记录版本来源。

可复制模板

Skill 名称：
来源：
允许工具：
禁止范围：
测试项目：
风险等级：低 / 中 / 高
结论：采用 / 修改后采用 / 不采用。

验收清单

• 是否知道来源
• 是否检查脚本
• 是否限制权限
• 是否隔离测试
• 是否记录版本

发布建议

可整理成 HTKU Skill 库的入库标准。

这类内容发布到 HTKU 时，重点不是复述外部平台说了什么，而是把它加工成中文用户能照着做的流程。读者打开页面后，应该能马上判断自己要准备什么、按什么顺序做、最后用什么标准验收。

标签