中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 8/100
Last scan:3 hr ago Rescan
8 /100
clawhub-publish-flow
将本地技能发布或更新到 ClawHub 平台
ClawHub 发布技能,功能为将本地技能发布到 ClawHub 平台,代码实现与文档声明一致,无恶意行为。
Skill Nameclawhub-publish-flow
Duration36.5s
Enginepi
ClawHub clawhub-publish-flow v0.1.3 by g-hanasq
📥 232
ClawHub Verdict Suspicious potential_exfiltrationvt_suspicious
Safe to install
可安全使用。发布前需人工审查技能内容确保不包含敏感信息。

Findings 2 items

Severity Finding Location
Low
读取 clawhub 配置获取认证 token Sensitive Access
脚本从多个可能位置读取 clawhub 配置文件以获取 Bearer token,用于 API 认证。这是正常的发布流程所需。
loadClawhubConfig() 读取配置并返回 token
→ token 仅用于向 ClawHub API 认证,属于合法用途
 scripts/publish_to_clawhub.js:38
Low
打包上传目录下所有文件 Sensitive Access
脚本使用 listFiles() 递归收集技能目录下的所有文件并上传。SKILL.md 已警告需人工检查敏感内容,但脚本本身未做过滤。
const files = listFiles(skillPath);
→ 用户需在发布前手动确认技能目录不包含 .env、SSH 密钥、密码等敏感文件
 scripts/publish_to_clawhub.js:48
ResourceDeclaredInferredStatusEvidence
Filesystem READ READ ✓ Aligned scripts/publish_to_clawhub.js:48-51 读取技能目录文件
Network WRITE WRITE ✓ Aligned scripts/publish_to_clawhub.js:67-74 POST 到 ClawHub API
Shell NONE NONE 仅通过 Node.js 执行,无直接 shell 调用
Environment NONE READ ✓ Aligned scripts/publish_to_clawhub.js:45 仅读取 clawhub 配置文件获取 token
1 findings
🔗
Medium External URL 外部 URL
https://clawhub.ai
scripts/publish_to_clawhub.js:65

File Tree

3 files · 8.7 KB · 244 lines
Markdown 2f · 148L JavaScript 1f · 96L
├─ 📁 references
│ └─ 📝 release-checklist.md Markdown 24L · 888 B
├─ 📁 scripts
│ └─ 📜 publish_to_clawhub.js JavaScript 96L · 2.9 KB
└─ 📝 SKILL.md Markdown 124L · 4.9 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
Node.js 标准库 N/A built-in No 仅使用 fs, path, os, fetch 等标准模块

Security Positives

✓ 代码实现逻辑清晰,功能单一明确
✓ SKILL.md 文档完整,包含详细的工作流程和安全规则
✓ 包含敏感数据审查指南("public-release sensitive-data review")
✓ 文档明确警告了发布前需检查敏感信息
✓ 使用标准 Node.js API,无第三方依赖供应链风险
✓ 目标 API 明确(clawhub.ai),无可疑远程地址
✓ 无代码混淆或隐藏执行逻辑
✓ 错误处理完善(参数验证、文件存在检查、API 响应检查)