Name: auto-iteration Security Report — Trusted | ClawSafe
Item: auto-iteration
Rating: 95
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

5 /100

auto-iteration

安全的自动任务迭代和优化系统

该技能是一个功能简单、限制明确的自动迭代系统，代码质量良好，具有适当的安全验证机制，无恶意行为迹象。

Skill Nameauto-iteration

Duration47.2s

Enginepi

ClawHub 04 自动迭代 v1.0.0 by nidhov01

📥 141 📦 1

ClawHub Verdict Suspicious dynamic_code_executionllm_suspiciousvt_suspicious

✓

Safe to install

可直接使用。如需更高安全级别，建议在文档中明确说明 SQLite 数据库的使用。

Findings 3 items

Severity	Finding	Location
Low	标准库使用未完整声明 Doc Mismatch SKILL.md 声明「仅使用标准库」，实际代码使用了 sqlite3、pathlib、re、typing、time 等标准库模块。虽然是标准库，但 SQLite 数据库的使用（~/.ai_iteration_log.db）涉及数据持久化，应在文档中明确说明。 `import json, sqlite3, re, time` → 建议在 SKILL.md 的「外部依赖」部分列出所有使用的标准库模块	`iteration_agent.py:1`
Info	eval 表达式计算器 RCE _tool_calculate 使用 Python eval() 执行数学表达式，但有严格正则验证和 __builtins__={} 限制，实际风险可控。 `if not re.match(r'^[\d\s+\-*/().]+$', expression): ... result = eval(expression, {'__builtins__': {}}, {})` → 建议考虑使用 ast.literal_eval 或专用表达式解析库替代 eval	`iteration_agent.py:199`
Info	注释中的可选依赖未实际使用 Supply Chain requirements.txt 中注释的 celery 和 redis 依赖在代码中未使用，无需安装。 `# celery>=5.3.0` → 如不需要可删除，保持文件简洁	`requirements.txt:6`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ,WRITE`	`READ,WRITE`	✓ Aligned	iteration_agent.py:159-180 _tool_read/_tool_write
Database	`NONE`	`READ,WRITE`	✓ Aligned	iteration_agent.py:44-89 TaskLogger 创建并使用 ~/.ai_iteration_log.db
Network	`NONE`	`NONE`	—	iteration_agent.py:146-153 _tool_search 仅返回硬编码假数据
Shell	`NONE`	`NONE`	—	无 shell 命令执行代码
Environment	`NONE`	`NONE`	—	无环境变量遍历或敏感关键字匹配
Skill Invoke	`NONE`	`NONE`	—	无跨技能调用机制
Clipboard	`NONE`	`NONE`	—	无剪贴板访问代码
Browser	`NONE`	`NONE`	—	无浏览器自动化代码

File Tree

4 files · 20.2 KB · 717 lines

Python 1f · 511L Markdown 1f · 163L Shell 1f · 35L Text 1f · 8L

├─ 🔧 install.sh Shell 35L · 805 B

├─ 🐍 iteration_agent.py Python 511L · 15.1 KB

├─ 📄 requirements.txt Text 8L · 278 B

└─ 📝 SKILL.md Markdown 163L · 4.0 KB

Package	Version	Source	Known Vulns	Notes
`sqlite3`	`stdlib`	Python Standard Library	No	用于任务日志存储
`pathlib`	`stdlib`	Python Standard Library	No	用于文件路径操作
`re`	`stdlib`	Python Standard Library	No	用于输入验证

✓ 具有完整的安全验证机制（工具白名单、危险操作黑名单）

✓ 文件写入限制在当前目录，防止越权写入

✓ 计算器使用 eval 但有严格的输入验证和内置函数禁用

✓ 无网络请求能力，无法外传数据

✓ 无凭证收集或环境变量遍历行为

✓ 无代码混淆或隐藏恶意功能

✓ 使用 Python 标准库，无第三方依赖风险