中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 5/100
Last scan:5 hr ago Rescan
5 /100
skill-safety-auditor
Perform comprehensive security audits on skills to identify vulnerabilities, unsafe patterns, and compliance issues
这是一个标准的技能安全审计工具,功能与文档描述完全一致,仅执行静态扫描,无恶意行为。
Skill Nameskill-safety-auditor
Duration26.5s
Enginepi
ClawHub Skill Safety Auditor v1.0.0 by harrylabsj
📥 184
ClawHub Verdict Suspicious dynamic_code_executionllm_suspicious
Safe to install
该技能可以安全使用。审计报告中 SEC-001/SEC-002 为自检误报(脚本内的正则模式被检测),非真实风险。
ResourceDeclaredInferredStatusEvidence
Filesystem READ READ ✓ Aligned grep/find命令仅在目标目录扫描,无越权写入
Shell READ READ ✓ Aligned 仅使用grep/find等只读命令,无主动命令执行
Network NONE NONE 仅扫描代码中的HTTP URL字符串,无实际网络连接
Environment NONE NONE 未读取或遍历环境变量

File Tree

7 files · 21.2 KB · 775 lines
Shell 4f · 476L Markdown 2f · 280L JSON 1f · 19L
├─ 📁 data
│ └─ 📋 AUDIT-20260313-001.json JSON 19L · 1016 B
├─ 📁 scripts
│ ├─ 🔧 audit-skill.sh Shell 281L · 8.7 KB
│ ├─ 🔧 list-audits.sh Shell 79L · 2.0 KB
│ ├─ 🔧 quick-scan.sh Shell 66L · 1.7 KB
│ └─ 🔧 test.sh Shell 50L · 1.2 KB
├─ 📝 README.md Markdown 46L · 1.2 KB
└─ 📝 SKILL.md Markdown 234L · 5.4 KB

Security Positives

✓ SKILL.md 文档完整清晰,功能声明与实际代码完全一致
✓ 纯静态分析工具,不执行被审计代码,符合安全工具设计原则
✓ 审计报告格式规范,包含完整的 findings 结构
✓ 工具自检能力完善(test.sh)
✓ 无凭证收割、无远程执行、无数据外泄
✓ 使用 set -e 错误处理规范
✓ 彩色输出提升可用性