hwc-infra Security Report — Trusted | ClawSafe

0 /100

hwc-infra

华为云基础设施管理助手，基于 KooCLI (hcloud)，支持 ECS/VPC/RDS 查询和监控

华为云基础设施管理助手，代码功能与文档声明一致，安装华为官方 KooCLI 二进制工具，无越权行为。

Skill Namehwc-infra

Duration29.9s

Enginepi

✓

Safe to install

无需修改，可直接使用。建议记录网络下载依赖的哈希校验机制以增强完整性。

Findings 2 items

Severity	Finding	Location
Low	无版本锁定下载 download_url 使用 /latest/ 路径下载 CLI，未固定版本号，若官方更新可能影响一致性 `download_url = DOWNLOAD_URLS[platform_key]` → 建议记录已验证的版本号或添加 SHA256 校验	`scripts/install_koocli.py:21`
Info	临时文件写入 /tmp 安装脚本将压缩包和解压目录放在 /tmp/koocli_install，在多租户环境中可能有轻微信息泄露风险 `temp_dir = Path("/tmp/koocli_install")` → 使用 $TMPDIR 或用户专属临时目录以提升隔离性（实际影响极低）	`scripts/install_koocli.py:138`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`WRITE`	✓ Aligned	scripts/install_koocli.py:98 写临时文件用于解压，install_hcloud 写安装目录，属于安装工具的合理需求
Network	`READ`	`READ`	✓ Aligned	scripts/install_koocli.py:21-28 下载华为官方 OBS 存储的 CLI 二进制，行为与声明一致
Shell	`WRITE`	`WRITE`	✓ Aligned	scripts/install_koocli.py:107-115 subprocess 调用 'hcloud version' 验证安装，SKILL.md 第…

7 findings

🔗

Medium External URL 外部 URL

https://support.huaweicloud.com/qs-hcli/hcli_02_003.html

SKILL.md:29

🔗

Medium External URL 外部 URL

https://cn-north-4-hdn-koocli.obs.cn-north-4.myhuaweicloud.com/cli/

scripts/install_koocli.py:21

🔗

Medium External URL 外部 URL

https://cn-north-4-hdn-koocli.obs.cn-north-4.myhuaweicloud.com/cli/latest/huaweicloud-cli-linux-amd64.tar.gz

scripts/install_koocli.py:23

🔗

Medium External URL 外部 URL

https://cn-north-4-hdn-koocli.obs.cn-north-4.myhuaweicloud.com/cli/latest/huaweicloud-cli-linux-arm64.tar.gz

scripts/install_koocli.py:24

🔗

Medium External URL 外部 URL

https://cn-north-4-hdn-koocli.obs.cn-north-4.myhuaweicloud.com/cli/latest/huaweicloud-cli-windows-amd64.zip

scripts/install_koocli.py:25

🔗

Medium External URL 外部 URL

https://cn-north-4-hdn-koocli.obs.cn-north-4.myhuaweicloud.com/cli/latest/huaweicloud-cli-mac-amd64.tar.gz

scripts/install_koocli.py:27

🔗

Medium External URL 外部 URL

https://cn-north-4-hdn-koocli.obs.cn-north-4.myhuaweicloud.com/cli/latest/huaweicloud-cli-mac-arm64.tar.gz

scripts/install_koocli.py:28

File Tree

3 files · 11.4 KB · 384 lines

Python 1f · 234L Markdown 2f · 150L

├─ ▾ 📁 references

│ └─ 📝 hcloud-queries.md Markdown 70L · 1.5 KB

├─ ▾ 📁 scripts

│ └─ 🐍 install_koocli.py Python 234L · 7.2 KB

└─ 📝 SKILL.md Markdown 80L · 2.7 KB

Security Positives

✓ 文档与代码行为完全一致，无阴影功能

✓ 网络请求指向华为云官方域名，无可疑外部通信

✓ subprocess 仅用于版本验证，无未声明的 shell 命令执行

✓ 安装脚本最后清理临时文件，环境整洁

✓ 写操作（删除/终止）明确标注需用户确认，符合最小权限原则

✓ 无凭证收割、无环境变量遍历、无 base64/eval 混淆

Scan Report

Findings 2 items

File Tree

Security Positives