jisu-find-skill Security Report — Trusted | ClawSafe

5 /100

jisu-find-skill

ClawHub 技能发现与安装工具

ClawHub 技能发现工具，声明能力与实际代码行为完全一致，subprocess 仅用于执行 clawhub CLI，网络请求仅限 ClawHub API，无越权操作。

Skill Namejisu-find-skill

Duration26.6s

Enginepi

✓

Safe to install

可直接使用。建议通过可信渠道安装，注意检查第三方 Skill 来源。

Findings 1 items

Severity	Finding	Location
Low	@file 输入无长度限制 _read_arg_query 函数在处理 @file 参数时直接读取文件全部内容到内存，无长度限制。恶意构造的超大文件可能导致内存耗尽。 `return Path(raw[1:]).read_text(encoding="utf-8").strip()` → 添加文件大小上限检查，如 1MB	`find_skills.py:491`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md 声明 'installed' 扫描目录，代码使用 _workspace_skills_dir()
Network	`READ`	`READ`	✓ Aligned	SKILL.md 声明 'search/stats' 调 ClawHub API，代码使用 urllib.request
Shell	`WRITE`	`WRITE`	✓ Aligned	SKILL.md 声明调用 clawhub CLI，subprocess.run(shell=False)
Environment	`NONE`	`READ`	✓ Aligned	仅读取 OPENCLAW_SKILLS_DIR，与声明一致

6 findings

🔗

Medium External URL 外部 URL

https://www.jisuapi.com/

SKILL.md:77

🔗

Medium External URL 外部 URL

https://clawhub.ai/org/skill

find_skills.py:23

🔗

Medium External URL 外部 URL

https://clawhub\.ai/([A-Za-z0-9_.-

find_skills.py:25

🔗

Medium External URL 外部 URL

https://clawhub.ai/api/v1/skills/

find_skills.py:37

🔗

Medium External URL 外部 URL

https://clawhub.ai/%s

find_skills.py:307

🔗

Medium External URL 外部 URL

https://clawhub.ai/

find_skills.py:419

File Tree

2 files · 39.2 KB · 1077 lines

Python 1f · 991L Markdown 1f · 86L

├─ 🐍 find_skills.py Python 991L · 34.1 KB

└─ 📝 SKILL.md Markdown 86L · 5.1 KB

Security Positives

✓ 声明能力与实际代码完全一致，无阴影功能

✓ subprocess 调用使用 shell=False，参数通过列表传递，无注入风险

✓ 网络请求使用标准 urllib，有超时保护（15s/30s）

✓ 文件系统访问仅限于配置的 skills 目录

✓ 无凭证访问、无远程脚本下载、无 base64/eval

✓ install 子命令默认 dry run，需要 --execute 才执行

✓ 代码结构清晰，有完整的错误处理和边界检查

Scan Report

Findings 1 items

File Tree

Security Positives