agora-sentinel 安全扫描报告 — 可信 | ClawSafe

5 /100

agora-sentinel

ClawHub 技能安装前安全检查工具，扫描恶意软件、提示词注入、数据窃取

agora-sentinel 是一个合法的 ClawHub 技能安全检查工具，代码透明、权限最小化、行为与文档完全一致，无恶意行为。

技能名称agora-sentinel

分析耗时58.2s

引擎pi

✓

可以安装

可安全使用。该技能仅通过 curl 查询外部 trust database，不执行本地代码，不外传用户数据。

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	scripts/check_skill.sh:14 - curl -sf API endpoint
文件系统	`READ`	`READ`	✓ 一致	scripts/scan_installed.sh:25 - find SKILL.md files
命令执行	`NONE`	`NONE`	—	仅 bash 脚本调用，无 subprocess 执行外部命令

5 项发现

🔗

中危外部 URL 外部 URL

https://checksafe.dev/dashboard/

README.md:31

🔗

中危外部 URL 外部 URL

https://checksafe.dev/api/v1/skills/

README.md:49

🔗

中危外部 URL 外部 URL

https://checksafe.dev/api/v1/search?q=weather&min_tier=2

README.md:55

🔗

中危外部 URL 外部 URL

https://checksafe.dev

README.md:60

🔗

中危外部 URL 外部 URL

https://checksafe.dev/api/v1

scripts/check_batch.sh:6

目录结构

5 文件 · 13.0 KB · 381 行

Markdown 2f · 216L Shell 3f · 165L

├─ ▾ 📁 scripts

│ ├─ 🔧 check_batch.sh Shell 59L · 1.9 KB

│ ├─ 🔧 check_skill.sh Shell 63L · 2.1 KB

│ └─ 🔧 scan_installed.sh Shell 43L · 1.1 KB

├─ 📝 README.md Markdown 60L · 2.0 KB

└─ 📝 SKILL.md Markdown 156L · 5.9 KB

安全亮点

✓ 代码完全透明，所有脚本均可审查

✓ 行为与文档声明完全一致（查询 API、只读、不执行、不外传数据）

✓ 权限最小化，仅使用 curl GET 请求

✓ 无 base64 编码、无混淆代码、无隐藏指令

✓ 无 credential_theft、数据外泄、反向 shell 等恶意模式

✓ 不访问敏感路径（~/.ssh、.env、keychain）

✓ 使用 python3 解析 JSON 有 fallback 降级处理