中文 EN

Scan Report

Scan New Files

Low Risk — Risk Score 15/100
Last scan:8 hr ago Rescan
15 /100
miliger-qmd-manager
统一的QMD知识库管理技能,集成官方qmd搜索功能和自定义项目管理/测试/内容创作知识管理
QMD知识库管理技能使用execFile执行本地CLI,文档与代码存在小偏差(命令白名单说明不完整),但无恶意行为证据,整体安全。
Skill Namemiliger-qmd-manager
Duration27.8s
Enginepi
Safe to install
建议更新SKILL.md中的命令白名单说明以匹配实际代码,补充输入验证逻辑。无需禁止使用。

Findings 2 items

Severity Finding Location
Low
文档命令白名单与代码不符 Doc Mismatch
代码注释声称命令白名单为--help/query/search/list,但实际代码还使用status/collection/embed/get/add/multi-get等命令。这不是安全漏洞,但存在文档欺骗。
命令白名单:--help, query, search, list
→ 更新SKILL.md或代码注释,列出完整的命令白名单列表
 index.js:14
Low
未声明的shell执行权限 Priv Escalation
SKILL.md未声明该技能会通过execFile执行本地命令,仅声明使用qmd搜索功能。虽然使用相对安全的execFile而非exec,但应在文档中明确说明。
const { execFile } = require('child_process')
→ 在SKILL.md安全说明部分添加shell:EXEC声明
 index.js:10
ResourceDeclaredInferredStatusEvidence
Filesystem READ READ ✓ Aligned index.js:45-58 通过qmd CLI读取知识库文件
Shell NONE EXEC ✗ Violation index.js:10 使用execFile执行qmd命令,未在SKILL.md声明
1 findings
🔗
Medium External URL 外部 URL
https://clawhub.com/skills/miliger-qmd-manager
README.md:55

File Tree

4 files · 12.9 KB · 499 lines
Markdown 2f · 287L JavaScript 1f · 179L JSON 1f · 33L
├─ 📜 index.js JavaScript 179L · 5.6 KB
├─ 📋 package.json JSON 33L · 784 B
├─ 📝 README.md Markdown 61L · 1.3 KB
└─ 📝 SKILL.md Markdown 226L · 5.2 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
@tobi/qmd N/A external-cli No 通过bun/npm全局安装的外部CLI工具,非直接依赖

Security Positives

✓ 使用execFile而非exec,避免shell注入风险
✓ 依赖仅来自官方qmd CLI,无第三方恶意依赖
✓ 无凭证收割、网络外传等敏感操作
✓ 使用path.join处理路径,防止路径遍历
✓ 命令参数结构化构建,非直接字符串拼接