electron-audit Security Report — Trusted | ClawSafe

5 /100

electron-audit

Electron 桌面应用全攻击面安全审计 v2.0

纯文档型 Electron 安全审计技能，零可执行代码，所有内容为渗透测试教学指南，无实际安全风险

Skill Nameelectron-audit

Duration49.9s

Enginepi

✓

Safe to install

此技能可直接使用，适用于 Electron 应用安全审计场景

Findings 4 items

Severity	Finding	Location
Info	纯文档型技能此技能由 12 个 Markdown 文件组成（总 138.6KB），无任何可执行脚本（scripts/ 目录不存在） `全部文件为 .md 格式技术文档，无 .js/.py/.sh 等可执行代码` → 无需处理，这是技能的设计特点	`N/A`
Info	文档内容为教学指南 SKILL.md 及其引用的 references/ 文档详细描述了 Electron 安全审计方法论，包含漏洞检测步骤和 PoC 示例 `对 Electron 应用执行完整渗透式安全审计` → 文档内容合规，用于安全研究和渗透测试教育	`SKILL.md:1`
Info	attacker.com 等域名为文档示例文档中出现的 attacker.com、evil.com、attacker.share 等是渗透测试教学中的标准占位符，用于说明攻击原理 `http://attacker.com/shell.ps1` → 这些是教育性示例，非真实恶意指标	`references/FUSE_BINARY_EXPLOIT.md:53:53`
Info	child_process/exec 等代码为漏洞描述文档中出现的 require('child_process').exec('calc') 等代码片段用于描述目标 Electron 应用可能存在的漏洞 PoC，不是技能自身的代码 `console.log('[CRITICAL] require("child_process") 可用 → 直接 RCE');` → 这是教学示例，用于说明如何检测此类漏洞	`references/JS_BRIDGE_EXPLOIT.md:75:75`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`NONE`	—	无 scripts/ 目录，技能不执行任何文件操作
Network	`NONE`	`NONE`	—	文档中无实际网络请求代码
Shell	`NONE`	`NONE`	—	纯文档技能，无 shell 执行能力
Environment	`NONE`	`NONE`	—	无环境变量访问代码
Skill Invoke	`NONE`	`NONE`	—	不调用其他技能
Clipboard	`NONE`	`NONE`	—	无剪贴板操作代码
Browser	`NONE`	`NONE`	—	文档描述 DevTools 使用方法，但无实际浏览器操作代码
Database	`NONE`	`NONE`	—	无数据库操作代码

23 findings

🔗

Medium External URL 外部 URL

http://127.0.0.1:9222

SKILL.md:300

🔗

Medium External URL 外部 URL

https://evil.com

SKILL.md:502

🔗

Medium External URL 外部 URL

https://www.electronjs.org/blog/tags/security

references/CONFIG_AUDIT.md:185

🔗

Medium External URL 外部 URL

https://chromereleases.googleblog.com/

references/CONFIG_AUDIT.md:186

🔗

Medium External URL 外部 URL

https://releases.electronjs.org/

references/ELECTRON_CVE_DATABASE.md:70

🔗

Medium External URL 外部 URL

https://v8.dev/blog

references/ELECTRON_CVE_DATABASE.md:131

🔗

Medium External URL 外部 URL

https://nodejs.org/en/blog/vulnerability

references/ELECTRON_CVE_DATABASE.md:190

🔗

Medium External URL 外部 URL

http://attacker.com/shell.ps1\\\

references/FUSE_BINARY_EXPLOIT.md:53

🔗

Medium External URL 外部 URL

https://attacker.com/beacon?host=

references/FUSE_BINARY_EXPLOIT.md:329

🔗

Medium External URL 外部 URL

https://attacker.com/log?data=

references/JS_BRIDGE_EXPLOIT.md:324

🔗

Medium External URL 外部 URL

https://attacker.com/log?env=

references/JS_BRIDGE_EXPLOIT.md:327

🔗

Medium External URL 外部 URL

https://attacker.com/log?c=

references/PROTOCOL_RCE.md:95

🔗

Medium External URL 外部 URL

https://evil.com/phishing.html

references/PROTOCOL_RCE.md:133

🔗

Medium External URL 外部 URL

https://attacker.com

references/PROTOCOL_RCE.md:231

🔗

Medium External URL 外部 URL

https://untrusted.com

references/PROTOCOL_RCE.md:383

🔗

Medium External URL 外部 URL

https://cdn.example.com/lib.js

references/SUPPLY_CHAIN.md:184

🔗

Medium External URL 外部 URL

https://attacker.com/log?key=

references/XSS_TO_RCE.md:140

🔗

Medium External URL 外部 URL

https://attacker.com/?c=

references/XSS_TO_RCE.md:234

🔗

Medium External URL 外部 URL

https://attacker.com/?ls=

references/XSS_TO_RCE.md:237

🔗

Medium External URL 外部 URL

https://attacker.com/?k=

references/XSS_TO_RCE.md:240

🔗

Medium External URL 外部 URL

https://attacker.com/phish

references/XSS_TO_RCE.md:243

🔗

Medium External URL 外部 URL

https://hooks\.slack\.com/services/T[A-Z0-9

rules/sensitive_patterns.txt:37

🔗

Medium External URL 外部 URL

https://discord(app

rules/sensitive_patterns.txt:38

File Tree

12 files · 138.6 KB · 4525 lines

Markdown 11f · 4439L Text 1f · 86L

├─ ▾ 📁 references

│ ├─ 📝 CONFIG_AUDIT.md Markdown 210L · 6.2 KB

│ ├─ 📝 DEVTOOLS_BYPASS.md Markdown 540L · 14.2 KB

│ ├─ 📝 ELECTRON_CVE_DATABASE.md Markdown 236L · 8.1 KB

│ ├─ 📝 FUSE_BINARY_EXPLOIT.md Markdown 415L · 10.7 KB

│ ├─ 📝 JS_BRIDGE_EXPLOIT.md Markdown 480L · 14.8 KB

│ ├─ 📝 LOCAL_DATA_ANALYSIS.md Markdown 445L · 10.3 KB

│ ├─ 📝 OUTPUT_TEMPLATE.md Markdown 264L · 7.3 KB

│ ├─ 📝 PROTOCOL_RCE.md Markdown 430L · 12.1 KB

│ ├─ 📝 SUPPLY_CHAIN.md Markdown 257L · 6.7 KB

│ └─ 📝 XSS_TO_RCE.md Markdown 389L · 12.1 KB

├─ ▾ 📁 rules

│ └─ 📄 sensitive_patterns.txt Text 86L · 6.1 KB

└─ 📝 SKILL.md Markdown 773L · 30.0 KB

Security Positives

✓ 纯文档型技能，无可执行代码，完全避免运行时风险

✓ 文档结构完整，包含 SKILL.md 和 10 个详细参考文档

✓ 包含敏感信息扫描规则集 (rules/sensitive_patterns.txt)

✓ 提供标准化输出模板 (OUTPUT_TEMPLATE.md)

✓ 包含 CVE 数据库参考 (ELECTRON_CVE_DATABASE.md)

✓ 遵循严格的误报过滤规则，强调实际可利用性验证

✓ 文档内容专业，符合安全审计最佳实践

Scan Report

Findings 4 items

File Tree

Security Positives