Name: git-monitor Security Report — Low Risk | ClawSafe
Item: git-monitor
Rating: 75
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

25 /100

git-monitor

通用 Git 项目监控工具，支持 GitHub、GitLab、Gitee 等所有 Git 平台

Git 项目监控工具，代码功能与文档声明基本一致，存在潜在命令注入风险但无主动恶意行为证据

Skill Namegit-monitor

Duration31.4s

Enginepi

ClawHub Git Monitor v1.1.1 by gushenjie

📥 234 📦 1

ClawHub Verdict Suspicious dangerous_execenv_credential_accesspotential_exfiltrationvt_suspicious

✓

Safe to install

建议修复 execSync 参数拼接问题，使用数组形式传参以防止命令注入；限制仓库 URL 校验更严格

Findings 3 items

Severity	Finding	Location
Medium	潜在命令注入风险 RCE checkRepository函数中git命令使用字符串拼接方式构建参数，用户输入的仓库URL虽经parseRepoInput解析，但仍存在风险 execSync(`git ${args.join(' ')}`, { encoding: 'utf8', maxBuffer: 10 * 1024 * 1024, cwd: localPath }) → 使用数组形式传参：execFileSync('git', args, {...})，避免shell解析	`helper.js:198`
Low	无依赖版本锁定 Supply Chain package.json为空对象，无生产依赖但也无版本锁定策略 `{}` → 当前仅使用Node.js内置模块，风险可控	`package.json:1`
Info	读取飞书凭证 Sensitive Access 级联读取飞书凭证（环境变量/OpenClaw配置/本地config），凭证仅用于发送通知，未外传 `process.env.FEISHU_APP_ID && process.env.FEISHU_APP_SECRET` → 确认凭证用途符合预期	`helper.js:43`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	helper.js:19 读写config.json
Shell	`WRITE`	`WRITE`	✓ Aligned	helper.js:198-201 execSync执行git命令
Network	`READ`	`WRITE`	✓ Aligned	helper.js:77-107 发送飞书通知
Environment	`READ`	`READ`	✓ Aligned	helper.js:43-46 读取飞书凭证环境变量
Skill Invoke	`NONE`	`NONE`	—	无子技能调用

7 findings

🔗

Medium External URL 外部 URL

https://gitee.com/mindspore/mindspore

README.md:27

🔗

Medium External URL 外部 URL

https://open.feishu.cn/

README.md:64

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal

helper.js:105

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/messages

helper.js:118

🔗

Medium External URL 外部 URL

https://gitlab.com

helper.js:191

🔗

Medium External URL 外部 URL

https://gitee.com

helper.js:192

🔗

Medium External URL 外部 URL

https://gitee.com/owner/repo

helper.js:579

File Tree

8 files · 28.1 KB · 1025 lines

JavaScript 1f · 694L Markdown 2f · 193L Shell 1f · 87L JSON 4f · 51L

├─ 📋 _meta.json JSON 5L · 130 B

├─ 🔑 config.json ⚠ JSON 31L · 1.0 KB

├─ 📋 config.local.json JSON 9L · 340 B

├─ 📜 helper.js JavaScript 694L · 20.4 KB

├─ 🔧 monitor.sh Shell 87L · 1.9 KB

├─ 📋 package.json JSON 6L · 115 B

├─ 📝 README.md Markdown 64L · 1.1 KB

└─ 📝 SKILL.md Markdown 129L · 3.2 KB

Security Positives

✓ 功能与文档声明一致，无阴影功能

✓ 飞书通知使用官方API（open.feishu.cn），凭证用于通知而非外泄

✓ Git仓库存储在专用目录~/.openclaw/workspace/repos/，与系统敏感目录隔离

✓ 配置文件存储在技能目录内，不在全局路径

✓ 无Base64编码、eval调用或混淆代码

✓ 无远程脚本下载或shell管道执行

Scan Report

Findings 3 items

File Tree

Security Positives