中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:4 小时前 重新扫描
5 /100
tool-registry
工具注册与发现系统,基于Token匹配的工具路由,支持权限控制和子代理工具白名单
工具注册与发现系统,代码实现与文档描述一致,无越权操作、无数据外泄。bash/write工具的广泛能力符合其作为底层CLI框架的定位。
技能名称tool-registry
分析耗时42.6s
引擎pi
ClawHub Tool Registry v1.0.0 by xhmqq616
ClawHub 判定 可疑 dangerous_execllm_suspiciousvt_suspicious
可以安装
可安全使用。如需更严格隔离,可在agentTypes中限制danger级工具的暴露范围。

安全发现 2 项

严重性 安全发现 位置
低危
bash工具无命令白名单限制 权限提升
bash工具通过spawn执行用户传入的任意字符串命令,shell: true参数允许管道、重定向等完整shell语法。虽然符合danger权限声明,但若AI agent被恶意prompt注入操控,可执行任意系统命令。
spawn(shell, args, { shell: true })
→ 建议对危险命令(如curl/wget/rm -rf)添加黑名单过滤,或在execute层面限制agentTypes为仅verification
 scripts/tool-registry.mjs:171-190
低危
write_file工具无路径限制 权限提升
write_file工具可将内容写入任意路径,无路径白名单。若AI agent被操控,可覆写系统关键文件(如~/.bashrc、/etc/passwd)。
fs.writeFileSync(filePath, content, 'utf-8')
→ 建议限制写入路径在特定目录(如workspace/),或限制agentTypes排除general
 scripts/tool-registry.mjs:162-169
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 SKILL.md:权限级别表格声明write=2, scripts/tool-registry.mjs:162-169 write_file工具实现了fs.wr…
命令执行 ADMIN ADMIN ✓ 一致 SKILL.md声明danger级, scripts/tool-registry.mjs:171-190 bash工具通过spawn执行任意shell命令
网络访问 READ READ ✓ 一致 scripts/tool-registry.mjs:202-205 web_search工具仅有stub实现,未实际发起网络请求
环境变量 NONE NONE 代码中未访问process.env或os.environ搜索敏感关键字
技能调用 NONE NONE 无动态skill加载或eval执行

目录结构

2 文件 · 18.9 KB · 723 行
JavaScript 1f · 579L Markdown 1f · 144L
├─ 📁 scripts
│ └─ 📜 tool-registry.mjs JavaScript 579L · 15.6 KB
└─ 📝 SKILL.md Markdown 144L · 3.4 KB

安全亮点

✓ 代码结构清晰,权限系统设计合理(read/write/danger/admin四级)
✓ 无base64/eval等混淆技术
✓ 无凭证收割、环境变量遍历或敏感路径访问
✓ 无数据外泄或C2通信
✓ web_search仅为stub,未实现实际网络请求
✓ 无HTML注释中的隐藏指令
✓ 文档与代码实现一致,无阴影功能
✓ 文件操作使用同步API,行为可预测