Name: local-self-healing-machine-learning Security Report — Trusted | ClawSafe
Item: local-self-healing-machine-learning
Rating: 90
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

10 /100

local-self-healing-machine-learning

本地ML自愈引擎，通过反馈循环和k-NN预测器自动修复错误

本地ML自愈引擎，具有完善的安全机制，所有预扫描标记的高危IOC均有合理解释和防护措施。

Skill Namelocal-self-healing-machine-learning

Duration93.8s

Enginepi

ClawHub Local Self-Healing Machine Learning v2.0.1 by josephtandle

📥 236

ClawHub Verdict Suspicious dangerous_execenv_credential_accessllm_suspiciouspotential_exfiltration

✓

Safe to install

可安全使用。OLLAMA安装为可选操作（已声明），测试文件中的凭证为脱敏功能验证数据，危险命令为安全过滤测试。

Findings 4 items

Severity	Finding	Location
Info	Ollama安装命令已声明 Doc Mismatch curl -fsSL https://ollama.com/install.sh \| sh 在 SKILL.md 'Optional: Ollama Integration' 部分明确说明为可选步骤，非隐蔽行为 `# Install Ollama curl -fsSL https://ollama.com/install.sh \| sh` → 无需修复 - 用户需主动执行此可选步骤	`SKILL.md:43`
Info	测试文件包含API密钥格式数据 Credential Theft test/sanitize.test.js 包含各种API密钥格式字符串(sk-, ghp_, gho_, AKIA)用于验证redactString函数的脱敏效果，非实际凭证 `assert.strictEqual(redactString('sk-abcdefghijklmnopqrstuvwxyz'), REDACTED);` → 无需修复 - 这是安全测试代码，用于确保敏感信息被正确脱敏	`test/sanitize.test.js:10`
Info	危险命令测试用例验证安全过滤 RCE test/skillDistiller.test.js:210 包含 'rm -rf /' 用于验证 validateSynthesizedGene 函数会正确过滤危险验证命令 `validation: ['node test.js', 'rm -rf /', 'echo $(whoami)', 'npm test']` → 无需修复 - 这是安全测试，确保危险命令被阻止	`test/skillDistiller.test.js:210`
Info	dotenv依赖已版本锁定 Supply Chain package.json中dotenv版本锁定为^16.4.7，降低供应链风险 `"dotenv": "^16.4.7"` → 良好实践 - 依赖版本已锁定	`package.json:19`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md声明读取会话日志和系统状态
Shell	`NONE`	`WRITE`	✓ Aligned	src/gep/solidify.js:isValidationCommandAllowed - 仅限node/npm/npx命令，过滤shell操作符
Network	`NONE`	`NONE`	—	src/gep/hubSearch.js - local_only_build，所有网络功能已禁用
Environment	`READ`	`READ`	✓ Aligned	src/gep/envFingerprint.js - 仅读取环境指纹用于追踪
Skill Invoke	`NONE`	`READ`	✓ Aligned	index.js通过sessions_spawn调用其他代理

6 Critical 10 findings

💀

Critical Dangerous Command 危险 Shell 命令

curl -fsSL https://ollama.com/install.sh | sh

SKILL.md:43

🔑

Critical API Key 硬编码 API 密钥

sk-abcdefghijklmnopqrstuvwxyz

test/sanitize.test.js:10

🔑

Critical API Key 硬编码 API 密钥

ghp_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

test/sanitize.test.js:19

🔑

Critical API Key 硬编码 API 密钥

gho_abcdefghijklmnopqrstuvwxyz1234567890

test/sanitize.test.js:21

🔑

Critical API Key 硬编码 API 密钥

AKIAIOSFODNN7EXAMPLE

test/sanitize.test.js:29

💀

Critical Dangerous Command 危险 Shell 命令

rm -rf /

test/skillDistiller.test.js:210

🔗

Medium External URL 外部 URL

https://mastermindshq.business

SKILL.md:5

🔗

Medium External URL 外部 URL

https://ollama.com/install.sh

SKILL.md:43

📧

Info Email 邮箱地址

[email protected]

test/sanitize.test.js:57

📧

Info Email 邮箱地址

[email protected]

test/sanitize.test.js:74

File Tree

71 files · 489.3 KB · 13151 lines

JavaScript 66f · 12525L HTML 1f · 365L Markdown 2f · 206L JSON 2f · 55L

├─ ▾ 📁 dashboard

│ ├─ 📄 index.html HTML 365L · 18.0 KB

│ └─ 📜 server.js JavaScript 112L · 3.8 KB

├─ ▾ 📁 memory

│ └─ 📋 knowledge.json JSON 28L · 708 B

├─ ▾ 📁 scripts

│ ├─ 📜 analyze_by_skill.js JavaScript 121L · 4.7 KB

│ ├─ 📜 extract_log.js JavaScript 85L · 2.5 KB

│ ├─ 📜 generate_history.js JavaScript 75L · 2.5 KB

│ ├─ 📜 gep_append_event.js JavaScript 96L · 3.0 KB

│ ├─ 📜 gep_personality_report.js JavaScript 234L · 7.7 KB

│ ├─ 📜 human_report.js JavaScript 147L · 5.7 KB

│ ├─ 📜 suggest_version.js JavaScript 89L · 3.0 KB

│ └─ 📜 validate-modules.js JavaScript 8L · 437 B

├─ ▾ 📁 src

│ ├─ ▾ 📁 gep

│ │ ├─ 📜 a2a.js JavaScript 173L · 6.3 KB

│ │ ├─ 📜 a2aProtocol.js JavaScript 161L · 7.1 KB

│ │ ├─ 📜 analyzer.js JavaScript 35L · 988 B

│ │ ├─ 📜 assetCallLog.js JavaScript 130L · 3.4 KB

│ │ ├─ 📜 assets.js JavaScript 36L · 1.1 KB

│ │ ├─ 📜 assetStore.js JavaScript 353L · 13.2 KB

│ │ ├─ 📜 bridge.js JavaScript 71L · 2.0 KB

│ │ ├─ 📜 candidates.js JavaScript 183L · 6.2 KB

│ │ ├─ 📜 contentHash.js JavaScript 65L · 2.1 KB

│ │ ├─ 📜 deviceId.js JavaScript 32L · 1.0 KB

│ │ ├─ 📜 envFingerprint.js JavaScript 28L · 830 B

│ │ ├─ 📜 hubSearch.js JavaScript 11L · 532 B

│ │ ├─ 📜 llmReview.js JavaScript 15L · 609 B

│ │ ├─ 📜 memoryGraph.js JavaScript 771L · 26.9 KB

│ │ ├─ 📜 memoryGraphAdapter.js JavaScript 17L · 856 B

│ │ ├─ 📜 mutation.js JavaScript 186L · 6.7 KB

│ │ ├─ 📜 narrativeMemory.js JavaScript 108L · 3.7 KB

│ │ ├─ 📜 paths.js JavaScript 86L · 2.5 KB

│ │ ├─ 📜 personality.js JavaScript 355L · 13.2 KB

│ │ ├─ 📜 prompt.js JavaScript 566L · 22.6 KB

│ │ ├─ 📜 questionGenerator.js JavaScript 3L · 139 B

│ │ ├─ 📜 reflection.js JavaScript 127L · 4.2 KB

│ │ ├─ 📜 sanitize.js JavaScript 67L · 2.2 KB

│ │ ├─ 📜 selector.js JavaScript 285L · 10.6 KB

│ │ ├─ 📜 signals.js JavaScript 428L · 19.8 KB

│ │ ├─ 📜 skillDistiller.js JavaScript 499L · 19.5 KB

│ │ ├─ 📜 solidify.js JavaScript 1437L · 59.0 KB

│ │ ├─ 📜 strategy.js JavaScript 126L · 4.4 KB

│ │ ├─ 📜 taskReceiver.js JavaScript 9L · 517 B

│ │ └─ 📜 validationReport.js JavaScript 55L · 2.1 KB

│ ├─ ▾ 📁 ml

│ │ ├─ 📜 embeddings.js JavaScript 219L · 6.1 KB

│ │ ├─ 📜 errorClassifier.js JavaScript 137L · 4.3 KB

│ │ ├─ 📜 feedbackLoop.js JavaScript 165L · 4.7 KB

│ │ ├─ 📜 knowledgeBase.js JavaScript 144L · 4.6 KB

│ │ ├─ 📜 predictor.js JavaScript 163L · 4.7 KB

│ │ └─ 📜 trainer.js JavaScript 40L · 1.2 KB

│ ├─ ▾ 📁 ops

│ │ ├─ 📜 cleanup.js JavaScript 80L · 2.5 KB

│ │ ├─ 📜 commentary.js JavaScript 60L · 1.7 KB

│ │ ├─ 📜 index.js JavaScript 10L · 333 B

│ │ ├─ 📜 innovation.js JavaScript 67L · 3.1 KB

│ │ ├─ 📜 self_repair.js JavaScript 82L · 3.1 KB

│ │ ├─ 📜 skills_monitor.js JavaScript 143L · 5.3 KB

│ │ └─ 📜 trigger.js JavaScript 33L · 837 B

│ └─ 📜 evolve.js JavaScript 1678L · 64.6 KB

├─ ▾ 📁 test

│ ├─ 📜 contentHash.test.js JavaScript 106L · 3.5 KB

│ ├─ 📜 embeddings.test.js JavaScript 60L · 1.8 KB

│ ├─ 📜 feedbackLoop.test.js JavaScript 126L · 3.6 KB

│ ├─ 📜 knowledgeBase.test.js JavaScript 117L · 4.1 KB

│ ├─ 📜 mutation.test.js JavaScript 142L · 4.6 KB

│ ├─ 📜 predictor.test.js JavaScript 32L · 788 B

│ ├─ 📜 sanitize.test.js JavaScript 90L · 3.9 KB

│ ├─ 📜 selector.test.js JavaScript 124L · 4.1 KB

│ ├─ 📜 signals.test.js JavaScript 217L · 9.9 KB

│ ├─ 📜 skillDistiller.test.js JavaScript 486L · 16.9 KB

│ ├─ 📜 strategy.test.js JavaScript 133L · 4.8 KB

│ └─ 📜 validationReport.test.js JavaScript 148L · 4.8 KB

├─ 📜 index.js JavaScript 338L · 13.4 KB

├─ 📋 package.json JSON 27L · 942 B

├─ 📝 SECURITY.md Markdown 83L · 3.5 KB

└─ 📝 SKILL.md Markdown 123L · 5.2 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`dotenv`	`^16.4.7`	npm	No	版本已锁定

Security Positives

✓ 多层安全防护机制：blast radius限制、凭证脱敏、危险命令过滤

✓ Ethics Committee阻止绕过安全机制的策略

✓ Canary检查确保index.js可加载

✓ 关键路径保护防止修改核心依赖

✓ 会话作用域隔离防止跨项目污染

✓ 自动更新默认禁用，需显式配置

✓ 本地Dashboard仅监听localhost:8420

✓ Hub网络功能在local-only build中已禁用

✓ 凭证脱敏功能完整，覆盖43+种模式

✓ 完整的安全测试覆盖

Scan Report

Findings 4 items

File Tree

Dependencies 1 items

Security Positives