中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 5/100
Last scan:4 hr ago Rescan
5 /100
hook-system
工具钩子系统,支持 PreToolUse 和 PostToolUse 拦截工具执行
工具钩子框架功能声明与实现一致,无未声明的敏感操作,无阴影功能。
Skill Namehook-system
Duration46.1s
Enginepi
ClawHub Hook System v1.0.0 by xhmqq616
ClawHub Verdict Suspicious dangerous_execllm_suspiciousvt_suspicious
Safe to install
无需修改。框架本身安全,但最终安全性取决于用户编写的钩子脚本。建议在生产环境中对钩子脚本进行白名单校验。

Findings 1 items

Severity Finding Location
Low
无第三方依赖锁定 Supply Chain
无 package.json 文件,无依赖版本锁定。使用纯 Node.js 内置 API(child_process, path, url)。
仅使用 import { spawn } from 'child_process'
→ 可接受。框架使用纯内置 API,无外部依赖风险。
 scripts/hook-runner.mjs:1
ResourceDeclaredInferredStatusEvidence
Shell WRITE WRITE ✓ Aligned scripts/hook-runner.mjs:78-101 runHookCommand函数使用spawn执行shell
Environment READ READ ✓ Aligned scripts/hook-runner.mjs:105-113 _buildEnv函数注入环境变量

File Tree

2 files · 12.2 KB · 466 lines
JavaScript 1f · 325L Markdown 1f · 141L
├─ 📁 scripts
│ └─ 📜 hook-runner.mjs JavaScript 325L · 8.6 KB
└─ 📝 SKILL.md Markdown 141L · 3.6 KB

Security Positives

✓ 文档与代码行为完全一致,无阴影功能
✓ 使用纯 Node.js 内置 API,无第三方依赖风险
✓ 输入验证逻辑完整(JSON解析失败时降级处理)
✓ 支持 Windows 和 Unix 跨平台
✓ Exit code 设计合理(0=允许,2=拒绝,其他=警告)
✓ 环境变量传递清晰,无越权操作