Name: policy-to-checklist 安全扫描报告 — 可信 | ClawSafe
Item: policy-to-checklist
Rating: 95
Author: ClawSafe

5 /100

policy-to-checklist

把征稿启事、通知、比赛规则等转成可执行检查清单与时间线

该技能功能简单明确，仅读取 macOS 剪贴板内容并输出，无恶意行为，仅存在文档夸大功能的问题（声称转清单但实际只输出原文）

技能名称policy-to-checklist

分析耗时25.0s

引擎pi

ClawHub policy-to-checklist v1.0.0 by 52yuanchangxing

📥 196

ClawHub 判定可疑 dangerous_exec

✓

可以安装

可安全使用。如需完整功能（转清单），当前代码不完整，建议补充 AI 处理逻辑或修正文档描述

安全发现 1 项

严重性	安全发现	位置
低危	功能描述与实际行为不符文档欺骗 SKILL.md 声称该技能'把通知转成执行 checklist'，但实际代码(read_clipboard.mjs)仅读取剪贴板内容并原样输出，未包含任何文本分析、检查清单生成或 AI 处理逻辑。功能不完整但无恶意意图。 `description: 把征稿启事...转成可执行检查清单与时间线` → 修正文档描述为'读取剪贴板内容'，或补充实际的清单生成逻辑	`SKILL.md:1`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`NONE`	—	无文件读写操作
网络访问	`NONE`	`NONE`	—	无网络请求
命令执行	`WRITE`	`READ`	✓ 一致	scripts/read_clipboard.mjs:6 仅执行 pbpaste 读取剪贴板
环境变量	`NONE`	`NONE`	—	无环境变量访问
技能调用	`NONE`	`NONE`	—	无嵌套调用
剪贴板	`READ`	`READ`	✓ 一致	scripts/read_clipboard.mjs:6-8 execSync('pbpaste')
浏览器	`NONE`	`NONE`	—	无浏览器操作
数据库	`NONE`	`NONE`	—	无数据库操作

目录结构

4 文件 · 1.7 KB · 84 行

Markdown 3f · 65L JavaScript 1f · 19L

├─ ▾ 📁 scripts

│ └─ 📜 read_clipboard.mjs JavaScript 19L · 445 B

├─ 📝 CHANGELOG.md Markdown 5L · 118 B

├─ 📝 README.md Markdown 27L · 390 B

└─ 📝 SKILL.md Markdown 33L · 743 B

✓ 无网络请求，无数据外泄风险

✓ 无文件读写操作，不访问敏感路径

✓ 无凭证收割、环境变量遍历等高危行为

✓ 无代码混淆、Base64 编码等反分析技术

✓ 无外部依赖，仅使用 Node.js 内置模块

✓ shell 执行仅限于读取剪贴板的标准命令