Scan Report
This report was generated in Chinese. Some content may be in Chinese.
5 /100
360Guard
360度综合安全审查技能,用于在安装任何来源的技能前进行安全扫描
360Guard是合法的安全扫描工具,预扫描标记的IOC(nc -e、base64 -d)仅出现在SKILL.md的反面示例检查列表中,不会被实际执行。工具行为与声明功能完全一致。
Safe to install
可直接使用,无需额外限制
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Shell | WRITE | WRITE | ✓ Aligned | Bash工具映射:扫描脚本需要执行grep/find等命令 |
| Filesystem | READ | READ | ✓ Aligned | Read工具映射:扫描需读取目标文件内容 |
| Filesystem | WRITE | WRITE | ✓ Aligned | Write工具映射:生成360guard-report文件 |
| Network | READ | READ | ✓ Aligned | WebFetch映射:获取GitHub API信息 |
2 Critical 3 findings
Critical Dangerous Command 危险 Shell 命令
nc -e SKILL.md:99 Critical Encoded Execution Base64 编码执行(代码混淆)
base64 -d SKILL.md:206 Medium External URL 外部 URL
https://clawhub.ai/api/download/SKILL_NAME SKILL.md:471 File Tree
5 files · 34.9 KB · 1003 lines Markdown 2f · 715L
JavaScript 1f · 177L
Shell 2f · 111L
├─
▾
scripts
│ ├─
full-scan.sh
Shell
│ ├─
quick-scan.sh
Shell
│ └─
scanner.cjs
JavaScript
├─
CHANGELOG.md
Markdown
└─
SKILL.md
Markdown
Security Positives
✓ scanner.cjs通过EXCLUDE_DIRS机制排除node_modules/.git/scripts目录,不会扫描自身
✓ 工具自我保护完善:扫描脚本不会递归扫描包含危险引用的自身文件
✓ SKILL.md中的nc -e和base64 -d出现在'Security Checklist'的反面教材列表中,属于文档说明而非实际代码
✓ full-scan.sh/quick-scan.sh使用grep/find等标准命令,无shell=True危险用法
✓ 无供应链风险:无外部依赖引入
✓ 功能声明与实际行为完全一致,无阴影功能