skills-audit

Audit locally installed agent skills for security/policy issues using the SkillLens CLI (skilllens scan, skilllens config). Use when asked to scan a skills directory (Codex/Claude) and produce a risk-focused audit report based on each skill's SKILL.md and bundled resources.

1. Zainstaluj SkillLens — uruchom npx skilllens scan (jednorazowe uruchomienie) lub pnpm add -g skilllens (instalacja globalna). Jeśli używasz pnpm, możesz też użyć pnpm dlx skilllens scan.

2. Sprawdź konfigurację skanera — wykonaj skilllens config, aby zobaczyć skonfigurowane katalogi do skanowania i dostępność CLI audytora (Claude lub Codex).

3. Uruchom skan — wykonaj skilllens scan dla wszystkich skonfigurowanych katalogów lub skilllens scan ścieżka dla konkretnego katalogu (np. skilllens scan ~/.codex/skills lub skilllens scan ./skills). Dodaj flagę --verbose, aby zobaczyć szczegółowe wyniki audytora, lub --force, aby zignorować wyniki z pamięci podręcznej.

4. Przeanalizuj wyniki — przejrzyj umiejętności oznaczone jako unsafe lub suspicious w pierwszej kolejności. Następnie sprawdź skills żądające szerokich uprawnień (dostęp do systemu plików, sieć), wykonujące polecenia shell lub pobierające kod z zewnętrznych źródeł.

5. Ręcznie sprawdź zawartość każdej umiejętności — przeczytaj plik SKILL.md oraz katalogi scripts/, references/ i assets/. Nie uruchamiaj skryptów domyślnie — najpierw je przeanalizuj pod kątem potencjalnych zagrożeń takich jak wysyłanie danych do zdalnych serwerów, uruchamianie arbitralnych poleceń lub pobieranie i wykonywanie kodu.