security-audit Security Report — Low Risk | ClawSafe

20 /100

security-audit

Run security audits on codebases using static analysis, dependency scanning, and manual code review patterns. Covers OWASP Top 10, secrets detection, dependency vulnerabilities, and infrastructure misconfigurations.

纯文档型安全审计技能包，仅包含 grep/find 命令模板用于静态分析，声称 shell:WRITE 权限但仅声明命令，未发现实际恶意代码或数据外传行为

Skill Namesecurity-audit

Duration50.4s

Enginepi

✓

Safe to install

可用。建议将 allowed_tools 声明精确化，明确限制为 Read/Grep/Find，避免 shell:WRITE 造成误解

Findings 2 items

Severity	Finding	Location
Low	Shell 权限过度声明 Doc Mismatch SKILL.md frontmatter 声明 allowed_tools 包含 Bash（映射为 shell:WRITE），但实际仅使用 grep/find 等只读命令。虽不影响安全，但可能误导用户对该技能权限范围的判断 `allowed_tools: Bash → shell:WRITE` → 如仅需静态分析，应声明为 Read/Grep/Find，避免 Bash	`SKILL.md:1`
Info	敏感文件搜索未明确说明用途 Sensitive Access Phase 1 命令搜索 .env、.pem、.key、secret、credential 等敏感文件路径，这是标准 SAST 审计流程，但在 SKILL.md 顶部未明确说明仅用于检测泄露而非主动读取 `find . -name ".env" -o -name ".pem" -o -name "*.key"` → 在文档顶部明确说明该技能仅进行静态分析，不会读取或外传敏感文件内容	`SKILL.md:28`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md:23-30 使用 find/grep 读取文件
Shell	`WRITE`	`READ`	✓ Aligned	SKILL.md:23 声明 shell:WRITE 但实际仅使用 find/grep 等只读命令
Network	`READ`	`READ`	✓ Aligned	SKILL.md:36-39 使用 npm audit/pip-audit 检查依赖漏洞
Environment	`NONE`	`READ`	✓ Aligned	SKILL.md:28 搜索 .env* 文件

File Tree

1 files · 5.3 KB · 140 lines

Markdown 1f · 140L

└─ 📝 SKILL.md Markdown 140L · 5.3 KB

Security Positives

✓ 纯文档型技能，无实际可执行代码注入风险

✓ 所有命令均为标准安全审计工具（grep/find/npm/pip）

✓ 无 base64 编码、远程脚本下载、反向 shell 等高危模式

✓ OWASP Top 10 方法论引用规范，意图明确为安全检测

✓ Limitations 章节诚实说明了工具局限性

Scan Report

Findings 2 items

File Tree

Security Positives