Security Scanner 安全扫描报告 — 可信 | ClawSafe

5 /100

Security Scanner

AI agent 技能安全扫描工具 — 三层分析：依赖 CVE、代码模式、权限审计

Claw0x Security Scanner 是合法的安全扫描工具，代码仅作为 API 包装器调用外部服务，无本地恶意行为，IOC `rm -rf /` 为文档示例中的无害演示代码。

技能名称Security Scanner

分析耗时33.5s

引擎pi

✓

可以安装

无需操作。该技能功能透明，无本地执行风险，可安全使用。

安全发现 3 项

严重性	安全发现	位置
低危	SKILL.md 缺少 allowed-tools frontmatter 文档 frontmatter 中没有声明 allowed-tools 字段，无法映射到能力模型。虽然代码实际未使用任何危险工具，但规范上应声明 network:READ `--- (frontmatter 缺少 allowed-tools)` → 建议在 frontmatter 添加 allowed-tools 字段声明网络访问权限	`SKILL.md:1`
提示	IOC 标记 `rm -rf /` 为误报预扫描将 SKILL.md:452 的 `rm -rf /` 标记为危险 shell 命令 (CRITICAL IOC)。经核实，该字符串出现在安全扫描示例中，用于演示工具检测恶意代码模式的能力，本身不被执行 `const { exec } = require('child_process'); exec(userInput); // 其中 userInput 可能是 'rm -rf /'` → 此 IOC 可忽略，属无害示例代码	`SKILL.md:452`
提示	handler.ts URL 字符串含尾随换行符第 78 行错误消息中 URL 包含 \n 字符：'https://claw0x.com\n'，属于笔误但不影响功能 `'Sign up → Dashboard → Create API Key → Set as environment variable'` → 修正为 'https://claw0x.com'，无安全影响	`handler.ts:78`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	handler.ts:64-73 — 仅调用 https://api.claw0x.com/v1/call
环境变量	`READ`	`READ`	✓ 一致	handler.ts:38-42 — 仅读取 CLAW0X_API_KEY
文件系统	`NONE`	`NONE`	—	handler.ts — 无任何文件读写操作
命令执行	`NONE`	`NONE`	—	handler.ts — 无任何 shell 执行

1 严重 5 项发现

💀

严重危险命令危险 Shell 命令

rm -rf /

SKILL.md:452

🔗

中危外部 URL 外部 URL

https://claw0x.com

SKILL.md:17

🔗

中危外部 URL 外部 URL

https://api.claw0x.com/v1/call

SKILL.md:45

🔗

中危外部 URL 外部 URL

https://claw0x.com/skills

SKILL.md:696

🔗

中危外部 URL 外部 URL

https://claw0x.com\n

handler.ts:78

2 文件 · 25.0 KB · 818 行

Markdown 1f · 698L TypeScript 1f · 120L

├─ 📜 handler.ts TypeScript 120L · 3.0 KB

└─ 📝 SKILL.md Markdown 698L · 22.0 KB

✓ 代码极为简洁（120行），逻辑透明，无隐藏逻辑

✓ 仅调用单一固定 API 端点，无动态 URL 或重定向

✓ API key 通过环境变量读取，未硬编码或外传

✓ 代码无文件系统操作、无 shell 执行、无凭证收割

✓ 文档清晰说明为 API 包装器，功能与实现一致

✓ 良好安全实践：提醒用户勿将凭证嵌入代码

✓ 无第三方依赖，风险面积极小