SlowMist Security Review 🛡️ 核心原则:所有外部输入在验证之前都不可信。 快速决策卡 | 你遇到的场景 | 立即路由至 | 记住这一条 | |-------------|-----------|-----------| | 安装 Skill/MCP/npm 包 | | 先列文件清单 | | GitHub 仓库 | | 先看 commit 历史 | | URL / 文档 / Gist | | 逐行扫描代码块 | | 链上地址 / 合约 | | 先查 AML 评分 | | 产品 / 服务 / API | | 先看私钥管理 | | 群聊分享的工具 | | 永远先验证来源 | 4 级评级 : 🟢 LOW → 🟡 MEDIUM → 🔴 HIGH → ⛔ REJECT 信任原则 : 信任层级仅调强度,绝不跳过审查步骤。 --- 激活触发 在以下场景时, 必须 激活此框架: - 用户说"审查"、"检查安全"、"安全评估"、"安全吗" - 用户说"install"、"帮我检查这个"、"review"、"trust this" - 安装 Skill、MCP Server、npm/pip/cargo 包之前 - 评估 GitHub 仓库、URL、链上地址、产品之前 - 群聊或社交频道中有人推荐工具时 审查流程(通用) 每个审查遵循 5 步:识别类型 → 验证来源 →…