Skill Trust Decision

skill-gatekeeper

Name: skill-gatekeeper Trust Review Report
Item: skill-gatekeeper
Rating: 55
Author: ClawSafe

Skill Gatekeeper 是合法的安全审核工具，但存在未声明的外部命令执行和硬编码路径问题，需要谨慎审查。

Install decision first Source: Manual upload Scanned: Apr 5, 2026

Files 2

Artifacts 1

Violations 3

Findings 4

Most direct threat evidence

用户执行 skill-gatekeeper install <slug> 命令 Entry · SKILL.md

通过 child_process.execSync 执行外部 clawhub CLI Escalation · gatekeeper.ts

CLI 工具可被替换为恶意版本，执行任意命令 Impact · gatekeeper.ts

Why this conclusion was reached

2/4 dimensions flagged

Block

Declared vs actual capability

3 undeclared or violating capabilities were inferred.

Review

Hidden execution and egress

1 lower-risk artifacts were extracted and still need context.

Block

Attack chain and severe findings

The report includes 3 attack-chain steps and 2 severe findings.

Review

Dependencies and supply chain hygiene

Dependency information is incomplete, so supply-chain confidence stays limited.

Attack Chain

用户执行 skill-gatekeeper install <slug> 命令

Entry · SKILL.md:28

通过 child_process.execSync 执行外部 clawhub CLI

Escalation · gatekeeper.ts:261

CLI 工具可被替换为恶意版本，执行任意命令

Impact · gatekeeper.ts:261

What drove the risk score up

未声明的外部命令执行 +20

使用 child_process.execSync 执行 clawhub CLI，但 SKILL.md 未声明此行为

硬编码用户路径泄露 +15

gatekeeper.ts:261 硬编码 C:/Users/ReaMasTer/AppData/Roaming/npm/...

文档与实现权限不一致 +10

SKILL.md 未声明 filesystem:WRITE 和 shell:WRITE 权限

Most important evidence

High RCE

未声明的外部命令执行

代码使用 child_process.execSync 执行 clawhub CLI 工具安装技能，但 SKILL.md 中未声明此行为。这是明显的阴影功能。

gatekeeper.ts:261

在 SKILL.md 中声明 shell:WRITE 权限，或改用更安全的安装方式

High Sensitive Access

硬编码用户路径信息泄露

代码中硬编码了 Windows 用户路径 'C:/Users/ReaMasTer/'，这暴露了开发者的系统信息，在跨平台部署时会导致功能失效。

gatekeeper.ts:261

使用动态路径发现或跨平台路径处理，避免硬编码用户目录

Medium Doc Mismatch

声明-行为权限不一致

SKILL.md 描述为'自动审核'工具，但未声明实际的 filesystem:WRITE 和 shell:WRITE 权限需求

SKILL.md:1

在 metadata.requires 或文档中明确声明所需权限

Low Supply Chain

依赖 clawhub CLI 工具

安装功能依赖外部 clawhub 工具的可用性，该工具不在 skill 包内

gatekeeper.ts:261

考虑内置安装逻辑或明确声明对 clawhub 的依赖

Declared capability vs actual capability

Filesystem Block

Declared NONE

→

Inferred WRITE

gatekeeper.ts:55-57 cpSync/mkdirSync 复制文件到沙盒目录

Shell Block

Declared NONE

→

Inferred WRITE

gatekeeper.ts:261 execSync 调用外部 CLI 工具

Network Block

Declared NONE

→

Inferred READ

gatekeeper.ts:112 fetch 访问 VirusTotal API

Suspicious artifacts and egress

Medium External URL

https://www.virustotal.com/api/v3/files/$

gatekeeper.ts:112

Dependencies and supply chain

There are no structured dependency warnings.

File composition

2 files · 528 lines

TypeScript 1 files · 411 linesMarkdown 1 files · 117 lines

Files of concern · 2

gatekeeper.ts TypeScript · 411 lines

未声明的外部命令执行 · 硬编码用户路径信息泄露 · 依赖 clawhub CLI 工具 · https://www.virustotal.com/api/v3/files/$

SKILL.md Markdown · 117 lines

声明-行为权限不一致

Security positives

功能设计合理：用于审核其他技能的安全性

内置风险模式检测：检测 eval/exec/键盘侧录等危险行为

沙盒隔离机制：先复制到沙盒再扫描

VirusTotal 集成：云端恶意软件检测

隔离区机制：拒绝危险技能时移动到隔离区