skill-vetting Security Report — Trusted | ClawSafe

5 /100

skill-vetting

Vet ClawHub skills for security and utility before installation

skill-vetting 是一个合法的 ClawHub 技能安全扫描工具，代码与文档声明一致，无恶意行为。

Skill Nameskill-vetting

Duration34.6s

Enginepi

✓

Safe to install

可用 — 这是 ClawSafe 自带的技能审查工具，本身就是安全基础设施的一部分。

Findings 1 items

Severity	Finding	Location
Low	未使用的标准库导入 Supply Chain scripts/scan.py 导入了 base64 模块但代码中未实际使用该模块。 `import base64` → 移除未使用的导入以保持代码整洁，无安全影响。	`scripts/scan.py:10`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	scripts/scan.py:77 — read_text() 读取文件内容
Network	`NONE`	`NONE`	—	代码中无任何网络请求调用
Shell	`NONE`	`NONE`	—	代码中无 shell 执行调用
Environment	`NONE`	`READ`	✓ Aligned	仅通过 argparse 接收命令行参数，无环境变量遍历

1 Critical 6 findings

💀

Critical Dangerous Command 危险 Shell 命令

rm -rf /

references/patterns.md:20

🔗

Medium External URL 外部 URL

https://clawhub.ai/api/v1/download?slug=SLUG

ARCHITECTURE.md:138

🔗

Medium External URL 外部 URL

https://clawhub.ai/api/v1/download?slug=SKILL_NAME

SKILL.md:15

🔗

Medium External URL 外部 URL

https://attacker.com/exfil

references/patterns.md:63

🔗

Medium External URL 外部 URL

http://random-ip:8080/payload.py

references/patterns.md:64

🔗

Medium External URL 外部 URL

https://attacker.com

references/patterns.md:159

File Tree

5 files · 30.2 KB · 900 lines

Markdown 3f · 667L Python 1f · 232L JSON 1f · 1L

├─ ▾ 📁 references

│ └─ 📝 patterns.md Markdown 219L · 4.6 KB

├─ ▾ 📁 scripts

│ └─ 🐍 scan.py Python 232L · 9.5 KB

├─ 📋 _meta.json JSON 1L · 133 B

├─ 📝 ARCHITECTURE.md Markdown 297L · 10.8 KB

└─ 📝 SKILL.md Markdown 151L · 5.1 KB

Security Positives

✓ 代码与 SKILL.md 文档声明完全一致

✓ 无网络请求调用 — 不存在数据外泄风险

✓ 无 shell=True、eval()、exec() 等危险操作

✓ 无凭证收割或敏感路径访问

✓ SKILL.md 中包含详细的 prompt injection 警告和教育内容 — 有助于防止自身被滥用

✓ references/patterns.md 提供了详尽的恶意模式参考库

Scan Report

Findings 1 items

File Tree

Security Positives