中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 5/100
Last scan:4 hr ago Rescan
5 /100
Dev & Deploy
快速创建并部署 Web 应用到 Cloudflare Pages;包含文件覆盖、Git推送与系统修改的安全确认机制
Dev & Deploy 是一个标准的 Web 应用开发部署工具,仅包含声明的功能:本地项目创建、GitHub 仓库创建、Cloudflare Pages 部署及访问测试。无任何恶意行为或阴影功能。
Skill NameDev & Deploy
Duration31.6s
Enginepi
ClawHub one-click dev and dploy v1.0.0 by samueli
📥 91 ⭐ 1
ClawHub Verdict Suspicious dangerous_execenv_credential_accessllm_suspiciouspotential_exfiltration
Safe to install
可直接使用。遵循 SKILL.md 中声明的安全确认流程即可。
ResourceDeclaredInferredStatusEvidence
Filesystem WRITE WRITE ✓ Aligned deploy.js:275 fs.mkdirSync, deploy.js:295 fs.writeFileSync, deploy.js:309 fs.cpS…
Shell WRITE WRITE ✓ Aligned deploy.js:44 execSync, deploy.js:49 execFileSync 调用 git/gh/wrangler CLI,SKILL.md…
Environment READ READ ✓ Aligned deploy.js:109 读取 CLOUDFLARE_API_TOKEN, deploy.js:108 读取 DEV_DEPLOY_CONFIG 等,SKIL…
Network READ READ ✓ Aligned deploy.js:467 fetch(url) 仅用于部署后访问测试,目标是 pages.dev 域名
Skill Invoke NONE NONE 无跨技能调用
Clipboard NONE NONE 无剪贴板操作
Browser NONE NONE 无浏览器操作
Database NONE NONE 无数据库操作
2 findings
🔗
Medium External URL 外部 URL
https://dash.cloudflare.com/profile/api-tokens
SKILL.md:62
🔗
Medium External URL 外部 URL
https://developers.cloudflare.com/fundamentals/api/get-started/create-token/
SKILL.md:63

File Tree

2 files · 26.2 KB · 917 lines
JavaScript 1f · 765L Markdown 1f · 152L
├─ 📜 deploy.js JavaScript 765L · 20.5 KB
└─ 📝 SKILL.md Markdown 152L · 5.7 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
node (child_process built-in) bundled Node.js runtime No 使用 Node.js 内置模块 fs, os, path, readline, child_process, fetch,无外部依赖

Security Positives

✓ SKILL.md 包含详细的安全确认流程,明确要求用户授权才能执行高危操作
✓ 要求项目名称必须通过 --name 传入,禁止自动推断或编造
✓ 文件覆盖、远程推送、系统依赖安装等高危操作前必须征得用户同意
✓ 提供 --skip-github、--skip-deploy 等安全兜底选项
✓ 错误处理完善,提供失败恢复指引
✓ 无任何 base64 编码、eval、混淆等反分析技术
✓ 无凭证收割、远程代码执行、反向 shell 等恶意行为
✓ 网络请求仅限于部署后的合法访问测试
✓ 环境变量仅用于配置读取,不外传任何敏感信息
✓ 所有 CLI 命令 (git/gh/wrangler) 均为部署工具的正常使用