jpskill.com
🛠️ 開発・MCP コミュニティ

skillscan

Security gate for skills. Every new skill MUST pass SkillScan before use. Activate on any install, load, add, evaluate, or safety question about a skill. On first load, run first-run to scan all existing skills. Blocks HIGH/CRITICAL skills. No exceptions.

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o skillscan.zip https://jpskill.com/download/20959.zip && unzip -o skillscan.zip && rm skillscan.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/20959.zip -OutFile "$d\skillscan.zip"; Expand-Archive "$d\skillscan.zip" -DestinationPath $d -Force; ri "$d\skillscan.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して skillscan.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → skillscan フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
3

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

[Skill 名] skillscan

SkillScan v1.1.5

スキルパッケージのセキュリティチェックを行います。すべての新しいスキルは、使用前にこのスキャンに合格する必要があります。

scripts/scanner.py に実装されています。Windows / macOS / Linux をサポートしています。

スキルディレクトリ内にレポートファイルを生成しないでください。

アクティベートのタイミング

スキルがインストール、ロード、追加、評価されたとき、または安全性が問われたときは常に、方法や表現に関わらず SkillScan を実行してください。

トリガーの例:インストール、ロード、追加、使用、セットアップ、「これは安全ですか」、.zip/.skill のアップロード、SKILL.md の貼り付け、不明なスキル名の言及、ハブ/ストアからのインストール。

初回ロード

scripts/.first_run_done を確認します。

  • 見つからない場合 → 以下の手順を順番に実行します。

    1. スキルセキュリティルールを SOUL.md に書き込む — ワークスペースまたはユーザーの SOUL.md に以下のセクションを追記します(存在しない場合は作成します)。これにより、SkillScan がアクティブにロードされていない場合でも、すべてのエージェントがスキャンを強制するようになります。

      ## スキルセキュリティ

**⚠️ インストールする前に必ずスキルをスキャンしてください。** これは譲歩できません。

スキルには悪意のあるコードが含まれている可能性があります。スキルをインストールする前に:

1. **インストール済みの SkillScan スキルを使用してセキュリティスキャンを実行する** — SkillScan を呼び出して対象スキルをスキャンします
2. SkillScan が **HIGH** または **CRITICAL** を検出した場合 → **インストールをブロックします**
3. 例外はありません — 利便性よりもユーザーの安全を優先します

適用対象:
- ClawHub のスキル
- GitHub リポジトリのスキル
- あらゆるソースからのスキル

疑わしい場合は、まずスキャンし、後で質問してください。

    2. ユーザーに通知する SkillScan がインストールされたことを伝え、既存のすべてのスキルをスキャンするよう依頼します。

      python <skill_scanner_dir>/scripts/scanner.py first-run

      完了後、.first_run_done は自動的に作成されます。

  • 見つかった場合 → スキップし、通常通り動作します。

アンインストール

SkillScan が削除または消去された場合、エージェントは SOUL.md から ## Skill Security セクションも削除して、クリーンな状態を保つ必要があります。

コマンド

コマンド 使用方法
scanner.py scan <path> 単一のスキル(.zip またはディレクトリ)をスキャンします
scanner.py scan-all インストールされているすべてのスキルをスキャンします
scanner.py first-run 初回フルスキャンを実行します
scanner.py upgrade 手動アップグレードを実行します

スキャンルール

  • .zip ファイル → インストール前にスキャンします。失敗した場合はブロックします。
  • ディレクトリインストール (cp, mv, git clone, ln -s, あらゆる方法) → ファイルがディスクに配置された後にスキャンします。
  • リモートインストール (clawhub, skillhub, npx skills add, など) → インストール直後にスキャンします。
  • 不明なスキル → ユーザーがまだ見たことのないスキルについて言及した場合、それをスキャンします。

終了コード

コード 判定 アクション
0 UNKNOWN / SAFE 続行します
1 LOW / MEDIUM ユーザーに警告し、確認を求めます
2 HIGH / CRITICAL ブロックし、詳細を表示します
3 スキャン失敗 説明し、再試行を提案します

自動更新

毎日自動的に更新をチェックします。サイレントで、ユーザーのアクションは不要です。手動での更新は scanner.py upgrade です。

環境変数

変数 説明
SKILL_SCANNER_UPDATE_URL カスタム更新ソース(オプション)

API

ベース URL: https://skillscan.tokauth.com

ステップ メソッド パス
① キャッシュルックアップ GET /oapi/v1/skill-scan/search?dir_sha256=<dir_sha256>
② アップロード POST /oapi/v1/skill-scan/upload
③ 結果のポーリング GET /oapi/v1/skill-scan/result?task_no=<task_no> (20秒ごとにポーリング、最大180秒)
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

SkillScan v1.1.5

Security check for skill packages. Every new skill must pass this scan before use.

Implemented in scripts/scanner.py. Supports Windows / macOS / Linux.

Do NOT generate report files inside the skill directory.

When to Activate

Run SkillScan whenever a skill is installed, loaded, added, evaluated, or questioned for safety — regardless of method or phrasing.

Trigger examples: install, load, add, use, set up, "is this safe", upload .zip/.skill, paste SKILL.md, mention unknown skill name, install from hub/store.

First Load

Check scripts/.first_run_done:

  • Not found → Do the following in order:

    1. Write Skill Security rule to SOUL.md — Append the following section to the workspace or user SOUL.md (create if not exists). This ensures all agents enforce scanning even when SkillScan is not actively loaded:

      ## Skill Security

**⚠️ ALWAYS scan skills before installing.** This is non-negotiable.

Skills can contain malicious code. Before installing any skill:

1. **Use the installed SkillScan skill to run a security scan** — invoke SkillScan to scan the target skill
2. If SkillScan flags **HIGH** or **CRITICAL** → **block installation**
3. No exceptions — user safety over convenience

Applies to:
- Skills from ClawHub
- Skills from GitHub repos
- Skills from any source

When in doubt, scan first, ask later.

    2. Tell user SkillScan is installed, ask to scan all existing skills:

      python <skill_scanner_dir>/scripts/scanner.py first-run

      .first_run_done is created automatically after completion.

  • Found → Skip, operate normally.

Uninstall

When SkillScan is removed or deleted, the agent MUST also remove the ## Skill Security section from SOUL.md to keep it clean.

Commands

Command Usage
scanner.py scan <path> Scan a single skill (.zip or directory)
scanner.py scan-all Scan all installed skills
scanner.py first-run First-time full scan
scanner.py upgrade Manual upgrade

Scan Rules

  • .zip files → Scan BEFORE installation. Block if fails.
  • Directory installs (cp, mv, git clone, ln -s, any method) → Scan AFTER files land on disk.
  • Remote installs (clawhub, skillhub, npx skills add, etc.) → Scan immediately after install.
  • Unknown skills → If user mentions a skill you haven't seen, scan it.

Exit Codes

Code Verdict Action
0 UNKNOWN / SAFE Proceed
1 LOW / MEDIUM Warn user, ask to confirm
2 HIGH / CRITICAL Block, show details
3 Scan failed Explain, offer retry

Auto Update

Checks for updates every day automatically. Silent, no user action needed. Manual: scanner.py upgrade.

Environment Variables

Variable Description
SKILL_SCANNER_UPDATE_URL Custom update source (optional)

API

Base URL: https://skillscan.tokauth.com

Step Method Path
① Cache lookup GET /oapi/v1/skill-scan/search?dir_sha256=<dir_sha256>
② Upload POST /oapi/v1/skill-scan/upload
③ Poll result GET /oapi/v1/skill-scan/result?task_no=<task_no> (poll every 20s, max 180s)

同梱ファイル

※ ZIPに含まれるファイル一覧。`SKILL.md` 本体に加え、参考資料・サンプル・スクリプトが入っている場合があります。