historical-guide Security Report — Trusted | ClawSafe

10 /100

historical-guide

博物馆讲解器升级版：召唤李白、苏轼、孔子等历史人物讲解文物

博物馆历史人物讲解技能，代码结构清晰，仅调用本地脚本和LLM API，无恶意行为

Skill Namehistorical-guide

Duration38.5s

Enginepi

✓

Safe to install

建议在 SKILL.md 中补充声明 subprocess 调用，并锁定 requests 版本

Findings 2 items

Severity	Finding	Location
Low	subprocess调用未在文档中明确声明 SKILL.md描述'调用脚本'但未明确说明使用subprocess执行外部Python脚本 `subprocess.run([sys.executable, str(script_dir / "persona_generator.py"), args.character])` → 在SKILL.md中补充说明使用subprocess调用本地脚本	`scripts/tour_guide.py:60`
Low	requests依赖无版本锁定 SKILL.md声明pip install requests但未锁定版本 `pip install requests` → 使用 pip install requests==2.31.0 或类似版本锁定	`SKILL.md:44`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	scripts/character_loader.py:37-47 读取references/*.json
Network	`READ`	`READ`	✓ Aligned	scripts/relic_presenter.py:67-72 调用外部LLM API
Shell	`NONE`	`READ`	✓ Aligned	scripts/tour_guide.py:60 subprocess调用本地脚本

1 findings

🔗

Medium External URL 外部 URL

https://api.example.com/v1/chat/completions

SKILL.md:45

10 files · 47.4 KB · 1414 lines

Python 7f · 1082L Markdown 1f · 316L JSON 2f · 16L

├─ ▾ 📁 scripts

│ ├─ 🐍 api_config.py Python 40L · 1.1 KB

│ ├─ 🐍 character_loader.py Python 147L · 3.9 KB

│ ├─ 🔑 config.json ⚠ JSON 5L · 58 B

│ ├─ 🐍 persona_generator.py Python 191L · 6.4 KB

│ ├─ 🐍 relic_presenter.py Python 78L · 2.3 KB

│ ├─ 🐍 session_manager.py Python 133L · 4.7 KB

│ ├─ 🐍 tour_guide.py Python 415L · 15.4 KB

│ └─ 🐍 utils.py Python 78L · 3.0 KB

├─ 📋 _meta.json JSON 11L · 289 B

└─ 📝 SKILL.md Markdown 316L · 10.3 KB

Package	Version	Source	Known Vulns	Notes
`requests`	`*`	pip	No	无版本锁定，建议锁定到稳定版本

✓ 代码结构清晰，专注于单一功能（历史人物讲解）

✓ 无凭证外传，API密钥仅用于调用LLM

✓ 无远程代码执行，仅执行本地Python脚本

✓ 无文件系统越权，仅在references/目录操作

✓ 无base64/eval等危险操作

✓ 敏感路径（~/.ssh等）访问: 未发现

✓ 人物画像存储在本地，无数据外泄风险