security-audit 安全扫描报告 — 低风险 | ClawSafe

20 /100

security-audit

Run security audits on codebases using static analysis, dependency scanning, and manual code review patterns. Covers OWASP Top 10, secrets detection, dependency vulnerabilities, and infrastructure misconfigurations.

纯文档型安全审计技能包，仅包含 grep/find 命令模板用于静态分析，声称 shell:WRITE 权限但仅声明命令，未发现实际恶意代码或数据外传行为

技能名称security-audit

分析耗时50.4s

引擎pi

✓

可以安装

可用。建议将 allowed_tools 声明精确化，明确限制为 Read/Grep/Find，避免 shell:WRITE 造成误解

安全发现 2 项

严重性	安全发现	位置
低危	Shell 权限过度声明文档欺骗 SKILL.md frontmatter 声明 allowed_tools 包含 Bash（映射为 shell:WRITE），但实际仅使用 grep/find 等只读命令。虽不影响安全，但可能误导用户对该技能权限范围的判断 `allowed_tools: Bash → shell:WRITE` → 如仅需静态分析，应声明为 Read/Grep/Find，避免 Bash	`SKILL.md:1`
提示	敏感文件搜索未明确说明用途敏感访问 Phase 1 命令搜索 .env、.pem、.key、secret、credential 等敏感文件路径，这是标准 SAST 审计流程，但在 SKILL.md 顶部未明确说明仅用于检测泄露而非主动读取 `find . -name ".env" -o -name ".pem" -o -name "*.key"` → 在文档顶部明确说明该技能仅进行静态分析，不会读取或外传敏感文件内容	`SKILL.md:28`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	SKILL.md:23-30 使用 find/grep 读取文件
命令执行	`WRITE`	`READ`	✓ 一致	SKILL.md:23 声明 shell:WRITE 但实际仅使用 find/grep 等只读命令
网络访问	`READ`	`READ`	✓ 一致	SKILL.md:36-39 使用 npm audit/pip-audit 检查依赖漏洞
环境变量	`NONE`	`READ`	✓ 一致	SKILL.md:28 搜索 .env* 文件

目录结构

1 文件 · 5.3 KB · 140 行

Markdown 1f · 140L

└─ 📝 SKILL.md Markdown 140L · 5.3 KB

安全亮点

✓ 纯文档型技能，无实际可执行代码注入风险

✓ 所有命令均为标准安全审计工具（grep/find/npm/pip）

✓ 无 base64 编码、远程脚本下载、反向 shell 等高危模式

✓ OWASP Top 10 方法论引用规范，意图明确为安全检测

✓ Limitations 章节诚实说明了工具局限性