扫描报告
5 /100
jisu-find-skill
ClawHub 技能发现与安装工具
ClawHub 技能发现工具,声明能力与实际代码行为完全一致,subprocess 仅用于执行 clawhub CLI,网络请求仅限 ClawHub API,无越权操作。
可以安装
可直接使用。建议通过可信渠道安装,注意检查第三方 Skill 来源。
安全发现 1 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | @file 输入无长度限制 | find_skills.py:491 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | READ | ✓ 一致 | SKILL.md 声明 'installed' 扫描目录,代码使用 _workspace_skills_dir() |
| 网络访问 | READ | READ | ✓ 一致 | SKILL.md 声明 'search/stats' 调 ClawHub API,代码使用 urllib.request |
| 命令执行 | WRITE | WRITE | ✓ 一致 | SKILL.md 声明调用 clawhub CLI,subprocess.run(shell=False) |
| 环境变量 | NONE | READ | ✓ 一致 | 仅读取 OPENCLAW_SKILLS_DIR,与声明一致 |
6 项发现
中危 外部 URL 外部 URL
https://www.jisuapi.com/ SKILL.md:77 中危 外部 URL 外部 URL
https://clawhub.ai/org/skill find_skills.py:23 中危 外部 URL 外部 URL
https://clawhub\.ai/([A-Za-z0-9_.- find_skills.py:25 中危 外部 URL 外部 URL
https://clawhub.ai/api/v1/skills/ find_skills.py:37 中危 外部 URL 外部 URL
https://clawhub.ai/%s find_skills.py:307 中危 外部 URL 外部 URL
https://clawhub.ai/ find_skills.py:419 目录结构
2 文件 · 39.2 KB · 1077 行 Python 1f · 991L
Markdown 1f · 86L
├─
find_skills.py
Python
└─
SKILL.md
Markdown
安全亮点
✓ 声明能力与实际代码完全一致,无阴影功能
✓ subprocess 调用使用 shell=False,参数通过列表传递,无注入风险
✓ 网络请求使用标准 urllib,有超时保护(15s/30s)
✓ 文件系统访问仅限于配置的 skills 目录
✓ 无凭证访问、无远程脚本下载、无 base64/eval
✓ install 子命令默认 dry run,需要 --execute 才执行
✓ 代码结构清晰,有完整的错误处理和边界检查