agora-sentinel Security Report — Trusted | ClawSafe

5 /100

agora-sentinel

ClawHub 技能安装前安全检查工具，扫描恶意软件、提示词注入、数据窃取

agora-sentinel 是一个合法的 ClawHub 技能安全检查工具，代码透明、权限最小化、行为与文档完全一致，无恶意行为。

Skill Nameagora-sentinel

Duration58.2s

Enginepi

✓

Safe to install

可安全使用。该技能仅通过 curl 查询外部 trust database，不执行本地代码，不外传用户数据。

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	scripts/check_skill.sh:14 - curl -sf API endpoint
Filesystem	`READ`	`READ`	✓ Aligned	scripts/scan_installed.sh:25 - find SKILL.md files
Shell	`NONE`	`NONE`	—	仅 bash 脚本调用，无 subprocess 执行外部命令

5 findings

🔗

Medium External URL 外部 URL

https://checksafe.dev/dashboard/

README.md:31

🔗

Medium External URL 外部 URL

https://checksafe.dev/api/v1/skills/

README.md:49

🔗

Medium External URL 外部 URL

https://checksafe.dev/api/v1/search?q=weather&min_tier=2

README.md:55

🔗

Medium External URL 外部 URL

https://checksafe.dev

README.md:60

🔗

Medium External URL 外部 URL

https://checksafe.dev/api/v1

scripts/check_batch.sh:6

File Tree

5 files · 13.0 KB · 381 lines

Markdown 2f · 216L Shell 3f · 165L

├─ ▾ 📁 scripts

│ ├─ 🔧 check_batch.sh Shell 59L · 1.9 KB

│ ├─ 🔧 check_skill.sh Shell 63L · 2.1 KB

│ └─ 🔧 scan_installed.sh Shell 43L · 1.1 KB

├─ 📝 README.md Markdown 60L · 2.0 KB

└─ 📝 SKILL.md Markdown 156L · 5.9 KB

Security Positives

✓ 代码完全透明，所有脚本均可审查

✓ 行为与文档声明完全一致（查询 API、只读、不执行、不外传数据）

✓ 权限最小化，仅使用 curl GET 请求

✓ 无 base64 编码、无混淆代码、无隐藏指令

✓ 无 credential_theft、数据外泄、反向 shell 等恶意模式

✓ 不访问敏感路径（~/.ssh、.env、keychain）

✓ 使用 python3 解析 JSON 有 fallback 降级处理

Scan Report

File Tree

Security Positives