paper-cluster-survey-v2-2 安全扫描报告 — 可信 | ClawSafe

5 /100

paper-cluster-survey-v2-2

学术论文提取、分类与综述生成工具

学术论文综述工具，代码结构清晰，无恶意行为，各脚本功能与声明一致

技能名称paper-cluster-survey-v2-2

分析耗时41.9s

引擎pi

✓

可以安装

可安全使用，权限声明略宽泛但与实际需要相符，建议补充权限使用说明

安全发现 2 项

严重性	安全发现	位置
提示	Shell权限用于PDF提取 extract-paper-records.mjs使用spawnSync调用pdftotext/mutool进行PDF文本提取，这是学术文献处理的合理需求 `runCommand(tool.name, tool.args)` → 可接受，建议在SKILL.md中明确说明PDF提取工具调用	`scripts/extract-paper-records.mjs:197-215`
提示	网络请求限于用户源URL 网络请求仅用于获取用户指定的论文URL，无外部API调用或数据外传 `fetch(url, { redirect: 'follow', headers: { 'user-agent': 'paper-cluster-survey-v2-2/1.0' } })` → 符合学术工具预期	`scripts/extract-paper-records.mjs:280-290`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ+WRITE`	`READ+WRITE`	✓ 一致	所有脚本均需读写文件，功能与声明一致
网络访问	`NONE`	`READ`	✓ 一致	extract-paper-records.mjs L280: fetch(url) 仅获取用户提供URL
命令执行	`WRITE`	`WRITE`	✓ 一致	extract-paper-records.mjs L197-215: 仅调用pdftotext/mutool等PDF工具
环境变量	`NONE`	`NONE`	—	无os.environ遍历
技能调用	`NONE`	`NONE`	—	无跨技能调用
剪贴板	`NONE`	`NONE`	—	无剪贴板操作
浏览器	`NONE`	`NONE`	—	无浏览器控制
数据库	`NONE`	`NONE`	—	无数据库访问

1 项发现

🔗

中危外部 URL 外部 URL

https://arxiv.org/abs/1234.5678

README.md:30

11 文件 · 37.8 KB · 1325 行

JavaScript 3f · 792L Markdown 6f · 522L YAML 1f · 6L JSON 1f · 5L

├─ ▾ 📁 agents

│ └─ 📋 openai.yaml YAML 6L · 360 B

├─ ▾ 📁 references

│ ├─ 📝 extraction-pipeline.md Markdown 48L · 1.4 KB

│ ├─ 📝 output-schema.md Markdown 107L · 1.8 KB

│ ├─ 📝 review-paper-style.md Markdown 81L · 2.1 KB

│ └─ 📝 taxonomy-guidelines.md Markdown 35L · 1.1 KB

├─ ▾ 📁 scripts

│ ├─ 📜 extract-paper-records.mjs JavaScript 492L · 14.3 KB

│ ├─ 📜 normalize-sources.mjs JavaScript 138L · 3.1 KB

│ └─ 📜 render-formal-review-template.mjs JavaScript 162L · 4.1 KB

├─ 📋 _meta.json JSON 5L · 144 B

├─ 📝 README.md Markdown 99L · 3.1 KB

└─ 📝 SKILL.md Markdown 152L · 6.1 KB

✓ 代码结构清晰，各脚本职责明确

✓ 无base64/eval/隐蔽shell等高危操作

✓ 无凭证收割、环境变量遍历

✓ 文档与实现高度一致，无阴影功能

✓ PDF提取有fallback机制（pdftotext→mutool→pypdf→strings）

✓ 敏感文件路径检查完善（排除.ssh、.aws等）

✓ 网络请求有合理user-agent头