PathClaw 安全扫描报告 — 低风险 | ClawSafe

22 /100

PathClaw

使用华银康集团 PathClaw 对病理切片进行泛癌预测

医疗影像诊断工具，核心功能为合法的远程病理切片分析，预扫描仅标记硬编码IP为高危IOC，但这是服务地址非恶意指标。主要风险为隐私合规声明缺失。

技能名称PathClaw

分析耗时44.7s

引擎pi

✓

可以安装

建议补充医疗数据处理合规声明（如HIPAA/GDPR），明确告知用户数据将上传至外部服务器。如使用环境为企业内网，建议通过配置项而非硬编码方式管理API地址。

安全发现 5 项

严重性	安全发现	位置
中危	隐私合规声明缺失病理切片为敏感医疗数据（PHI），SKILL.md未说明数据处理是否符合HIPAA、GDPR或中国医疗数据管理规定。用户使用前应明确知晓数据将被上传至外部服务器。 `使用华银康集团 PathClaw 对病理切片进行泛癌预测` → 添加数据处理声明，说明数据流向、存储期限、是否符合医疗数据合规要求	`SKILL.md:1`
低危	API地址硬编码服务器地址http://119.91.47.20:8111/硬编码在文档中，不便于企业内网部署时的地址配置。 `针对服务器 http://119.91.47.20:8111/` → 建议通过环境变量或配置文件管理API地址，便于部署适配	`SKILL.md:7`
低危	权限声明与实现轻微偏差 filesystem声明为NONE，但实际需要读取用户提供的.svs文件进行上传。 `用户必须提供病理切片文件路径` → 声明filesystem:READ以准确反映实际需求	`SKILL.md:31`
提示	文件格式校验完善实现了5项文件校验规则：路径存在、可读、大小非零、格式.svs、大小写不敏感，有效防止恶意文件上传。 `文件路径必须存在，且为普通文件（非目录）...` → 保持现有校验逻辑	`SKILL.md:35`
提示	错误处理规范定义了超时重试（2次指数退避）、HTTP状态码处理、token脱敏输出等安全实践。 `日志中禁止输出完整token...` → 保持现有错误处理规范	`SKILL.md:62`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`READ`	✓ 一致	SKILL.md:31-48 要求读取用户提供的.svs文件进行上传
网络访问	`READ`	`WRITE`	✓ 一致	SKILL.md:7 硬编码外部API地址，用于上传切片和获取诊断结果
命令执行	`NONE`	`NONE`	—	未发现shell命令执行
环境变量	`NONE`	`NONE`	—	未访问环境变量
剪贴板	`NONE`	`NONE`	—	未使用剪贴板
浏览器	`NONE`	`NONE`	—	无浏览器操作
数据库	`NONE`	`NONE`	—	无数据库操作

1 高危 5 项发现

📡

高危 IP 地址硬编码 IP 地址

119.91.47.20

SKILL.md:7

🔗

中危外部 URL 外部 URL

http://119.91.47.20:8111/

SKILL.md:7

🔗

中危外部 URL 外部 URL

http://119.91.47.20:8111/api/user/login

SKILL.md:22

🔗

中危外部 URL 外部 URL

http://119.91.47.20:8111/api/v1/diagnosis/run

SKILL.md:44

🔗

中危外部 URL 外部 URL

http://119.91.47.20:8111/api/v1/diagnosis/

SKILL.md:56

1 文件 · 4.9 KB · 115 行

Markdown 1f · 115L

└─ 📝 SKILL.md Markdown 115L · 4.9 KB

✓ 医疗诊断功能清晰，声明与执行一致

✓ 文件校验规则完善（5项检查）

✓ 错误处理规范（超时重试、状态码处理）

✓ token脱敏输出要求明确

✓ 无发现凭证收割、远程代码执行等恶意行为

✓ 无阴影功能（文档与行为一致）

✓ 无HTML隐藏指令或base64编码payload