Scan Report
5 /100
security-audit
Comprehensive security auditing for Clawdbot deployments
合法的 Clawdbot 安全审计工具,声称功能与实际行为高度一致,无阴影功能或凭证外泄。
Safe to install
可直接使用。建议确认 allowedTools 声明包含 filesystem:READ、filesystem:WRITE、shell:READ 以覆盖实际使用的 fs 读取、chmod 和 ss/netstat 命令。
Findings 2 items
| Severity | Finding | Location |
|---|---|---|
| Low | SKILL.md 声明与实际实现有轻微偏差 Doc Mismatch | SKILL.md:1 |
| Low | 硬编码路径 /root/clawd 导致扫描范围超出声明 Priv Escalation | scripts/audit.cjs:12 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | NONE | READ+WRITE | ✓ Aligned | scripts/audit.cjs:1 实际使用 fs.readFileSync 读取文件,fs.chmodSync 修改权限,fs.writeFileSync… |
| Shell | NONE | READ | ✓ Aligned | scripts/audit.cjs:137 execSync 调用 ss/netstat 和 git 命令,属于 system tool 范畴 |
| Environment | NONE | READ | ✓ Aligned | 未使用 os.environ,代码仅通过 fs 读取配置文件 |
| Network | NONE | NONE | — | 无任何网络请求,无外部通信 |
| credential_theft | CREDENTIALS scan | READ (in scope) | ✓ Aligned | scripts/audit.cjs:91-125 仅在 /root/clawd 范围内扫描,无外传 |
File Tree
3 files · 17.8 KB · 608 lines JavaScript 1f · 505L
Markdown 1f · 102L
JSON 1f · 1L
├─
▾
scripts
│ └─
audit.cjs
JavaScript
├─
_meta.json
JSON
└─
SKILL.md
Markdown
Security Positives
✓ 凭证扫描逻辑严谨:使用正则匹配 API key、secret token、私钥、URL 凭证等多种模式
✓ 凭证检测结果仅输出到控制台,不外传网络请求
✓ 权限修复功能合理:自动将敏感文件权限设置为 0o600
✓ auto-fix 创建 .gitignore 是标准安全实践
✓ Dockerfile 检查涵盖 USER、--privileged、HEALTHCHECK 等关键项
✓ Git 历史检查防止凭证在提交历史中泄露
✓ 递归扫描正确排除 node_modules 和 .git 目录
✓ 全代码扫描使用分级策略(keyFiles 用 CRITICAL,正则更宽泛;其他文件用 HIGH/MEDIUM),避免过度告警