skill-vetting 安全扫描报告 — 可信 | ClawSafe

5 /100

skill-vetting

Vet ClawHub skills for security and utility before installation

skill-vetting 是一个合法的 ClawHub 技能安全扫描工具，代码与文档声明一致，无恶意行为。

技能名称skill-vetting

分析耗时34.6s

引擎pi

✓

可以安装

可用 — 这是 ClawSafe 自带的技能审查工具，本身就是安全基础设施的一部分。

安全发现 1 项

严重性	安全发现	位置
低危	未使用的标准库导入供应链 scripts/scan.py 导入了 base64 模块但代码中未实际使用该模块。 `import base64` → 移除未使用的导入以保持代码整洁，无安全影响。	`scripts/scan.py:10`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	scripts/scan.py:77 — read_text() 读取文件内容
网络访问	`NONE`	`NONE`	—	代码中无任何网络请求调用
命令执行	`NONE`	`NONE`	—	代码中无 shell 执行调用
环境变量	`NONE`	`READ`	✓ 一致	仅通过 argparse 接收命令行参数，无环境变量遍历

1 严重 6 项发现

💀

严重危险命令危险 Shell 命令

rm -rf /

references/patterns.md:20

🔗

中危外部 URL 外部 URL

https://clawhub.ai/api/v1/download?slug=SLUG

ARCHITECTURE.md:138

🔗

中危外部 URL 外部 URL

https://clawhub.ai/api/v1/download?slug=SKILL_NAME

SKILL.md:15

🔗

中危外部 URL 外部 URL

https://attacker.com/exfil

references/patterns.md:63

🔗

中危外部 URL 外部 URL

http://random-ip:8080/payload.py

references/patterns.md:64

🔗

中危外部 URL 外部 URL

https://attacker.com

references/patterns.md:159

目录结构

5 文件 · 30.2 KB · 900 行

Markdown 3f · 667L Python 1f · 232L JSON 1f · 1L

├─ ▾ 📁 references

│ └─ 📝 patterns.md Markdown 219L · 4.6 KB

├─ ▾ 📁 scripts

│ └─ 🐍 scan.py Python 232L · 9.5 KB

├─ 📋 _meta.json JSON 1L · 133 B

├─ 📝 ARCHITECTURE.md Markdown 297L · 10.8 KB

└─ 📝 SKILL.md Markdown 151L · 5.1 KB

安全亮点

✓ 代码与 SKILL.md 文档声明完全一致

✓ 无网络请求调用 — 不存在数据外泄风险

✓ 无 shell=True、eval()、exec() 等危险操作

✓ 无凭证收割或敏感路径访问

✓ SKILL.md 中包含详细的 prompt injection 警告和教育内容 — 有助于防止自身被滥用

✓ references/patterns.md 提供了详尽的恶意模式参考库