automatic-skill Security Report — Trusted | ClawSafe

0 /100

automatic-skill

每日自动调研、设计、制作、测试并发布新 Skill 的元技能流水线

Automatic Skill 是一个纯 Prompt Generator 架构的元技能流水线，代码本身不执行任何危险操作，所有 GitHub 操作通过 gh CLI 实现，声明与行为完全一致。

Skill Nameautomatic-skill

Duration61.0s

Enginepi

✓

Safe to install

此 skill 可安全使用。所有危险操作（git push、gh api、clawhub publish）都通过输出 prompt 指令引导 AI Agent 执行，而非脚本直接调用。

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`NONE`	—	所有脚本仅 fs.readFileSync 读取 pipeline 状态，无写入
Network	`NONE`	`NONE`	—	脚本本身无 http/https 请求，gh CLI 由 Agent 执行
Shell	`NONE`	`NONE`	—	无 exec/spawn/system 调用
Environment	`NONE`	`NONE`	—	仅读取 GITHUB_TOKEN/CLAWHUB_TOKEN 等配置值

1 findings

🔗

Medium External URL 外部 URL

https://clawhub.ai/steipete/github

SKILL.md:143

File Tree

18 files · 100.3 KB · 2576 lines

JavaScript 14f · 2330L Markdown 1f · 181L JSON 3f · 65L

├─ ▾ 📁 data

│ └─ 📋 pipeline-log.json JSON 29L · 856 B

├─ ▾ 📁 scripts

│ ├─ 📜 create.js JavaScript 153L · 6.9 KB

│ ├─ 📜 daily-pipeline.js JavaScript 85L · 3.5 KB

│ ├─ 📜 design.js JavaScript 175L · 5.5 KB

│ ├─ 📜 final-review.js JavaScript 208L · 7.1 KB

│ ├─ 📜 pipeline.js JavaScript 169L · 7.3 KB

│ ├─ 📜 push-toggle.js JavaScript 71L · 2.1 KB

│ ├─ 📜 research.js JavaScript 113L · 4.4 KB

│ ├─ 📜 review.js JavaScript 153L · 7.0 KB

│ ├─ 📜 self-check.js JavaScript 155L · 5.4 KB

│ ├─ 📜 self-run.js JavaScript 146L · 5.2 KB

│ ├─ 📜 seo.js JavaScript 193L · 6.6 KB

│ ├─ 📜 status.js JavaScript 138L · 5.4 KB

│ ├─ 📜 upload.js JavaScript 319L · 13.5 KB

│ └─ 📜 verify-upload.js JavaScript 252L · 10.4 KB

├─ 📋 _meta.json JSON 6L · 148 B

├─ 📋 package.json JSON 30L · 1.2 KB

└─ 📝 SKILL.md Markdown 181L · 8.0 KB

Security Positives

✓ 纯 Prompt Generator 架构：代码仅输出 prompt，不执行任何危险操作

✓ GitHub 操作通过 gh CLI：声明明确，与实现一致

✓ dry-run 模式：支持仅测试不上传，保障安全

✓ 分阶段流水线：每阶段有独立检查点，可追溯

✓ 代码质量高：有 header 注释、参数校验、错误处理

✓ 安全检查清单：review.js 包含安全检查项（无硬编码凭证、无注入风险）

✓ 无第三方依赖风险：package.json 仅包含 npm scripts，无外部依赖

✓ 环境变量声明完整：SKILL.md 明确列出必需和可选环境变量

Scan Report

File Tree

Security Positives