Name: hook-system 安全扫描报告 — 可信 | ClawSafe
Item: hook-system
Rating: 95
Author: ClawSafe

5 /100

hook-system

工具钩子系统，支持 PreToolUse 和 PostToolUse 拦截工具执行

工具钩子框架功能声明与实现一致，无未声明的敏感操作，无阴影功能。

技能名称hook-system

分析耗时46.1s

引擎pi

ClawHub Hook System v1.0.0 by xhmqq616

ClawHub 判定可疑 dangerous_execllm_suspiciousvt_suspicious

✓

可以安装

无需修改。框架本身安全，但最终安全性取决于用户编写的钩子脚本。建议在生产环境中对钩子脚本进行白名单校验。

安全发现 1 项

严重性	安全发现	位置
低危	无第三方依赖锁定供应链无 package.json 文件，无依赖版本锁定。使用纯 Node.js 内置 API（child_process, path, url）。 `仅使用 import { spawn } from 'child_process'` → 可接受。框架使用纯内置 API，无外部依赖风险。	`scripts/hook-runner.mjs:1`

资源类型	声明权限	推断权限	状态	证据
命令执行	`WRITE`	`WRITE`	✓ 一致	scripts/hook-runner.mjs:78-101 runHookCommand函数使用spawn执行shell
环境变量	`READ`	`READ`	✓ 一致	scripts/hook-runner.mjs:105-113 _buildEnv函数注入环境变量

目录结构

2 文件 · 12.2 KB · 466 行

JavaScript 1f · 325L Markdown 1f · 141L

├─ ▾ 📁 scripts

│ └─ 📜 hook-runner.mjs JavaScript 325L · 8.6 KB

└─ 📝 SKILL.md Markdown 141L · 3.6 KB

✓ 文档与代码行为完全一致，无阴影功能

✓ 使用纯 Node.js 内置 API，无第三方依赖风险

✓ 输入验证逻辑完整（JSON解析失败时降级处理）

✓ 支持 Windows 和 Unix 跨平台

✓ Exit code 设计合理（0=允许，2=拒绝，其他=警告）

✓ 环境变量传递清晰，无越权操作