Name: wip-repo-permissions-hook Security Report — Trusted | ClawSafe
Item: wip-repo-permissions-hook
Rating: 100
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

0 /100

wip-repo-permissions-hook

GitHub 仓库可见性防护工具，阻止仓库在无 -private 副本情况下转为公开

合法的 GitHub 仓库可见性防护工具，仅通过 gh CLI 调用 GitHub API，无任意代码执行、无凭证收割、无数据外泄。

Skill Namewip-repo-permissions-hook

Duration29.9s

Enginepi

ClawHub Wip Repo Permissions Hook v1.9.68 by parkertoddbrooks

📥 601

ClawHub Verdict Suspicious dangerous_exec

✓

Safe to install

无需修改。可直接使用。

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`READ`	✓ Aligned	cli.js:21 仅读取 package.json 获取版本号，功能必要且最小化
Shell	`WRITE`	`WRITE`	✓ Aligned	core.mjs:25-28 execFileSync 仅调用 gh CLI，无其他 shell 执行
Network	`READ`	`READ`	✓ Aligned	所有网络请求通过 gh CLI 到 api.github.com，属于 GitHub 操作核心需求
Skill Invoke	`NONE`	`NONE`	—	无 skill_invoke 调用
Clipboard	`NONE`	`NONE`	—	无剪贴板操作
Browser	`NONE`	`NONE`	—	无浏览器操作
Database	`NONE`	`NONE`	—	无数据库操作

8 findings

🔗

Medium External URL 外部 URL

https://img.shields.io/npm/v/@wipcomputer/wip-repo-permissions-hook

README.md:3

🔗

Medium External URL 外部 URL

https://www.npmjs.com/package/@wipcomputer/wip-repo-permissions-hook

README.md:3

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/interface-CLI_/_TUI-black

README.md:3

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/interface-MCP_Server-black

README.md:3

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/interface-OpenClaw_Plugin-black

README.md:3

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/interface-Claude_Code_Hook-black

README.md:3

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/interface-Claude_Code_Skill-black

README.md:3

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/Universal_Interface_Spec-black?style=flat&color=black

README.md:3

File Tree

8 files · 17.2 KB · 569 lines

JavaScript 4f · 371L Markdown 2f · 159L JSON 2f · 39L

├─ 📜 cli.js JavaScript 93L · 2.8 KB

├─ 📜 core.mjs JavaScript 122L · 4.0 KB

├─ 📜 guard.mjs JavaScript 64L · 1.4 KB

├─ 📜 mcp-server.mjs JavaScript 92L · 2.7 KB

├─ 📋 openclaw.plugin.json JSON 8L · 269 B

├─ 📋 package.json JSON 31L · 703 B

├─ 📝 README.md Markdown 86L · 3.5 KB

└─ 📝 SKILL.md Markdown 73L · 1.8 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`@modelcontextprotocol/sdk`	`^1.0.0`	npm	No	MCP 官方 SDK，版本锁定，可信

Security Positives

✓ 代码逻辑清晰，无混淆、无 base64 编码

✓ 所有网络请求通过官方 gh CLI，不存在裸 IP 或可疑 URL

✓ 无凭证收割行为（不读取 ~/.ssh、~/.aws、.env 等敏感路径）

✓ 无 eval/动态代码执行

✓ 无远程脚本下载执行

✓ 文档与代码行为完全一致，无阴影功能

✓ 依赖单一且可信（@modelcontextprotocol/sdk 官方包）

✓ 执行超时限制合理（10s 单次、30s 批量）

Scan Report

File Tree

Dependencies 1 items

Security Positives