Name: 360Guard 安全扫描报告 — 可信 | ClawSafe
Item: 360Guard
Rating: 95
Author: ClawSafe

5 /100

360Guard

360度综合安全审查技能，用于在安装任何来源的技能前进行安全扫描

360Guard是合法的安全扫描工具，预扫描标记的IOC（nc -e、base64 -d）仅出现在SKILL.md的反面示例检查列表中，不会被实际执行。工具行为与声明功能完全一致。

技能名称360Guard

分析耗时94.0s

引擎pi

ClawHub 360Guard v1.0.0 by robinc913

📥 201

ClawHub 判定可疑 dangerous_execdynamic_code_executionllm_suspiciouspotential_exfiltration

✓

可以安装

可直接使用，无需额外限制

资源类型	声明权限	推断权限	状态	证据
命令执行	`WRITE`	`WRITE`	✓ 一致	Bash工具映射：扫描脚本需要执行grep/find等命令
文件系统	`READ`	`READ`	✓ 一致	Read工具映射：扫描需读取目标文件内容
文件系统	`WRITE`	`WRITE`	✓ 一致	Write工具映射：生成360guard-report文件
网络访问	`READ`	`READ`	✓ 一致	WebFetch映射：获取GitHub API信息

2 严重 3 项发现

💀

严重危险命令危险 Shell 命令

nc -e

SKILL.md:99

🔒

严重编码执行 Base64 编码执行（代码混淆）

base64 -d

SKILL.md:206

🔗

中危外部 URL 外部 URL

https://clawhub.ai/api/download/SKILL_NAME

SKILL.md:471

目录结构

5 文件 · 34.9 KB · 1003 行

Markdown 2f · 715L JavaScript 1f · 177L Shell 2f · 111L

├─ ▾ 📁 scripts

│ ├─ 🔧 full-scan.sh Shell 80L · 2.8 KB

│ ├─ 🔧 quick-scan.sh Shell 31L · 1.2 KB

│ └─ 📜 scanner.cjs JavaScript 177L · 6.7 KB

├─ 📝 CHANGELOG.md Markdown 208L · 5.6 KB

└─ 📝 SKILL.md Markdown 507L · 18.7 KB

安全亮点

✓ scanner.cjs通过EXCLUDE_DIRS机制排除node_modules/.git/scripts目录，不会扫描自身

✓ 工具自我保护完善：扫描脚本不会递归扫描包含危险引用的自身文件

✓ SKILL.md中的nc -e和base64 -d出现在'Security Checklist'的反面教材列表中，属于文档说明而非实际代码

✓ full-scan.sh/quick-scan.sh使用grep/find等标准命令，无shell=True危险用法

✓ 无供应链风险：无外部依赖引入

✓ 功能声明与实际行为完全一致，无阴影功能