中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Low Risk — Risk Score 18/100
Last scan:5 hr ago Rescan
18 /100
claw-skill-nest-client
本地/私有 Claw Skill Nest 客户端,支持列出、上传、安装、更新技能
本地 Claw Skill Nest 客户端,功能声明与实际行为基本一致,存在轻微文档瑕疵(未声明 shell 执行能力),但无恶意行为证据。
Skill Nameclaw-skill-nest-client
Duration46.0s
Enginepi
ClawHub Local Claw Skill Nest Client v1.0.3 by kklldog
📥 192
ClawHub Verdict Suspicious dangerous_execenv_credential_accesspotential_exfiltrationvt_suspicious
Safe to install
建议补充文档说明 subprocess 用于解压功能。整体可用,风险可控。

Findings 2 items

Severity Finding Location
Low
未声明的 shell 执行能力 Doc Mismatch
代码使用 subprocess 执行 unzip/powershell 命令进行 ZIP 解压,但 SKILL.md 未声明此能力。虽为功能性需求,但存在文档-行为差异。
spawn('unzip', ['-o', archivePath, '-d', targetDir])
→ 建议在 SKILL.md 中补充说明:脚本在需要时会调用系统 unzip 或 PowerShell Expand-Archive 进行压缩包解压。
 scripts/manage_local_claw_skill_nest.ts:27
Info
写入路径为用户目录 Priv Escalation
Skills 安装到 ~/.openclaw/workspace/skills/,属于用户目录,非特权路径。
const SKILLS_DIR = join(homedir(), '.openclaw', 'workspace', 'skills')
→ 无需修改,路径选择合理。
 scripts/manage_local_claw_skill_nest.ts:15
ResourceDeclaredInferredStatusEvidence
Filesystem WRITE WRITE ✓ Aligned scripts/manage_local_claw_skill_nest.ts:35 mkdir, :115 writeFile, :120 copyFile,…
Network READ+WRITE READ+WRITE ✓ Aligned scripts/manage_local_claw_skill_nest.ts:38 fetch to SKILLHUB_URL endpoints
Shell NONE WRITE ✗ Violation scripts/manage_local_claw_skill_nest.ts:27 spawn('unzip'/'powershell')

File Tree

2 files · 8.2 KB · 247 lines
TypeScript 1f · 185L Markdown 1f · 62L
├─ 📁 scripts
│ └─ 📜 manage_local_claw_skill_nest.ts TypeScript 185L · 5.8 KB
└─ 📝 SKILL.md Markdown 62L · 2.4 KB

Security Positives

✓ API Key 从环境变量读取,未硬编码凭证
✓ 使用 mkdtemp + finally rm 进行临时文件清理,防止遗留文件
✓ 文件上传仅接受 .skill 和 .zip 扩展名,有基本的输入验证
✓ 网络请求默认发往本地服务器 (localhost:17890),而非外部 IP
✓ 代码逻辑清晰,无混淆或可疑模式
✓ 有完善的错误处理和用户提示