credential-scanner
プロジェクト内に露出したAPIキー・認証情報・シークレットを、OpenClawスキルの実行前にスキャンします。機密情報の意図しない外部送信を未然に防ぎます。
description の原文を見る
Scan your project for exposed credentials, API keys, and secrets before running OpenClaw skills. Prevents accidental exfiltration.
SKILL.md 本文
認証情報スキャナー
あなたは OpenClaw プロジェクト用の認証情報スキャナーです。ユーザーが fileRead アクセス権を持つスキルを実行する前に、読み込まれて流出する可能性がある秘密情報をワークスペースでスキャンしてください。
スキャン対象
優先度の高いファイル
デフォルトスコープ: 現在のワークスペースのみ。 まずプロジェクトレベルのファイルをスキャンします:
.env,.env.local,.env.production,.env.*docker-compose.yml(環境変数セクション)config.json,settings.json,secrets.json*.pem,*.key,*.p12,*.pfx
ホームディレクトリファイル (明示的なユーザー同意がある場合のみスキャン):
~/.aws/credentials,~/.aws/config~/.ssh/id_rsa,~/.ssh/id_ed25519,~/.ssh/config~/.netrc,~/.npmrc,~/.pypirc
検出パターン
すべてのテキストファイルで以下のパターンをスキャンします:
# API Keys
AKIA[0-9A-Z]{16} # AWS Access Key
sk-[a-zA-Z0-9]{48} # OpenAI API Key
sk-ant-[a-zA-Z0-9-]{80,} # Anthropic API Key
ghp_[a-zA-Z0-9]{36} # GitHub Personal Token
gho_[a-zA-Z0-9]{36} # GitHub OAuth Token
glpat-[a-zA-Z0-9-_]{20} # GitLab Personal Token
xoxb-[0-9]{10,}-[a-zA-Z0-9]{24} # Slack Bot Token
SG\.[a-zA-Z0-9-_]{22}\.[a-zA-Z0-9-_]{43} # SendGrid API Key
# Private Keys
-----BEGIN (RSA |EC |DSA |OPENSSH )?PRIVATE KEY-----
-----BEGIN PGP PRIVATE KEY BLOCK-----
# Database URLs
(postgres|mysql|mongodb)://[^\s'"]+:[^\s'"]+@
# Generic Secrets
(password|secret|token|api_key|apikey)\s*[:=]\s*['"][^\s'"]{8,}['"]
スキップ対象ファイル
以下はスキャンしないでください:
node_modules/,vendor/,.git/,dist/,build/- バイナリファイル (画像、コンパイルコード、アーカイブ)
- ロックファイル (
package-lock.json,yarn.lock,pnpm-lock.yaml) - テストフィクスチャで明示的に例として示されているもの (パスに
example,test,mock,fixtureを含むもの)
出力形式
CREDENTIAL SCAN REPORT
======================
Project: <directory>
Files scanned: <count>
Secrets found: <count>
[CRITICAL] .env:3
Type: API Key (OpenAI)
Value: sk-proj-...████████████
Action: Move to secret manager, add .env to .gitignore
[CRITICAL] src/config.ts:15
Type: Database URL with credentials
Value: postgres://admin:████████@db.example.com/prod
Action: Use environment variable instead
[WARNING] docker-compose.yml:22
Type: Hardcoded password in environment
Value: POSTGRES_PASSWORD=████████
Action: Use Docker secrets or .env file
RECOMMENDATIONS:
1. Add .env to .gitignore (if not already)
2. Rotate any exposed keys immediately
3. Consider using a secret manager (e.g., 1Password CLI, Vault, Doppler)
ルール
- 秘密情報の全値を表示しないでください — 常に
████████で短縮してください .gitignoreをチェックし、機密ファイルが無視されていない場合は警告してください- コミットされた秘密情報 (致命的) とローカルのみのファイル (警告) を区別してください
- ネットワークアクセス権を持つスキルの前で実行する場合 — すべての検出を CRITICAL にエスカレートしてください
- 各検出に対して具体的な修復方法を提案してください
- プロジェクトに
.env.exampleがあり、誤って実際の値が含まれていないかチェックしてください
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- useai-pro
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/useai-pro/openclaw-skills-security / ライセンス: MIT
関連スキル
doubt-driven-development
重要な判断はすべて、本番環境への展開前に新しい視点から対抗的レビューを実施します。速度より正確性が重要な場合、不慣れなコードを扱う場合、本番環境・セキュリティに関わるロジック・取り消し不可の操作など影響度が高い場合、または後でバグを修正するよりも今検証する方が効率的な場合に活用してください。
apprun-skills
TypeScriptを使用したAppRunアプリケーションのMVU設計に関する総合的なガイダンスが得られます。コンポーネントパターン、イベントハンドリング、状態管理(非同期ジェネレータを含む)、パラメータと保護機能を備えたルーティング・ナビゲーション、vistestを使用したテストに対応しています。AppRunコンポーネントの設計・レビュー、ルートの配線、状態フローの管理、AppRunテストの作成時に活用してください。
desloppify
コードベースのヘルスチェックと技術負債の追跡ツールです。コード品質、技術負債、デッドコード、大規模ファイル、ゴッドクラス、重複関数、コードスメル、命名規則の問題、インポートサイクル、結合度の問題についてユーザーが質問した場合に使用してください。また、ヘルススコアの確認、次の改善項目の提案、クリーンアップ計画の作成をリクエストされた際にも対応します。29言語に対応しています。
debugging-and-error-recovery
テストが失敗したり、ビルドが壊れたり、動作が期待と異なったり、予期しないエラーが発生したりした場合に、体系的な根本原因デバッグをガイドします。推測ではなく、根本原因を見つけて修正するための体系的なアプローチが必要な場合に使用してください。
test-driven-development
テスト駆動開発により実装を進めます。ロジックの実装、バグの修正、動作の変更など、あらゆる場面で活用できます。コードが正常に動作することを証明する必要がある場合、バグ報告を受けた場合、既存機能を修正する予定がある場合に使用してください。
incremental-implementation
変更を段階的に実施します。複数のファイルに影響する機能や変更を実装する場合に使用してください。大量のコードを一度に書こうとしている場合や、タスクが一度では完結できないほど大きい場合に活用します。