中文 EN

扫描报告

扫描新文件

可信 — 风险评分 8/100
上次扫描:4 小时前 重新扫描
8 /100
clawhub-publish-flow
将本地技能发布或更新到 ClawHub 平台
ClawHub 发布技能,功能为将本地技能发布到 ClawHub 平台,代码实现与文档声明一致,无恶意行为。
技能名称clawhub-publish-flow
分析耗时36.5s
引擎pi
ClawHub clawhub-publish-flow v0.1.3 by g-hanasq
📥 232
ClawHub 判定 可疑 potential_exfiltrationvt_suspicious
可以安装
可安全使用。发布前需人工审查技能内容确保不包含敏感信息。

安全发现 2 项

严重性 安全发现 位置
低危
读取 clawhub 配置获取认证 token 敏感访问
脚本从多个可能位置读取 clawhub 配置文件以获取 Bearer token,用于 API 认证。这是正常的发布流程所需。
loadClawhubConfig() 读取配置并返回 token
→ token 仅用于向 ClawHub API 认证,属于合法用途
 scripts/publish_to_clawhub.js:38
低危
打包上传目录下所有文件 敏感访问
脚本使用 listFiles() 递归收集技能目录下的所有文件并上传。SKILL.md 已警告需人工检查敏感内容,但脚本本身未做过滤。
const files = listFiles(skillPath);
→ 用户需在发布前手动确认技能目录不包含 .env、SSH 密钥、密码等敏感文件
 scripts/publish_to_clawhub.js:48
资源类型声明权限推断权限状态证据
文件系统 READ READ ✓ 一致 scripts/publish_to_clawhub.js:48-51 读取技能目录文件
网络访问 WRITE WRITE ✓ 一致 scripts/publish_to_clawhub.js:67-74 POST 到 ClawHub API
命令执行 NONE NONE 仅通过 Node.js 执行,无直接 shell 调用
环境变量 NONE READ ✓ 一致 scripts/publish_to_clawhub.js:45 仅读取 clawhub 配置文件获取 token
1 项发现
🔗
中危 外部 URL 外部 URL
https://clawhub.ai
scripts/publish_to_clawhub.js:65

目录结构

3 文件 · 8.7 KB · 244 行
Markdown 2f · 148L JavaScript 1f · 96L
├─ 📁 references
│ └─ 📝 release-checklist.md Markdown 24L · 888 B
├─ 📁 scripts
│ └─ 📜 publish_to_clawhub.js JavaScript 96L · 2.9 KB
└─ 📝 SKILL.md Markdown 124L · 4.9 KB

依赖分析 1 项

包名版本来源已知漏洞备注
Node.js 标准库 N/A built-in 仅使用 fs, path, os, fetch 等标准模块

安全亮点

✓ 代码实现逻辑清晰,功能单一明确
✓ SKILL.md 文档完整,包含详细的工作流程和安全规则
✓ 包含敏感数据审查指南("public-release sensitive-data review")
✓ 文档明确警告了发布前需检查敏感信息
✓ 使用标准 Node.js API,无第三方依赖供应链风险
✓ 目标 API 明确(clawhub.ai),无可疑远程地址
✓ 无代码混淆或隐藏执行逻辑
✓ 错误处理完善(参数验证、文件存在检查、API 响应检查)