扫描报告
5 /100
skill-safety-auditor
Perform comprehensive security audits on skills to identify vulnerabilities, unsafe patterns, and compliance issues
这是一个标准的技能安全审计工具,功能与文档描述完全一致,仅执行静态扫描,无恶意行为。
可以安装
该技能可以安全使用。审计报告中 SEC-001/SEC-002 为自检误报(脚本内的正则模式被检测),非真实风险。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | READ | ✓ 一致 | grep/find命令仅在目标目录扫描,无越权写入 |
| 命令执行 | READ | READ | ✓ 一致 | 仅使用grep/find等只读命令,无主动命令执行 |
| 网络访问 | NONE | NONE | — | 仅扫描代码中的HTTP URL字符串,无实际网络连接 |
| 环境变量 | NONE | NONE | — | 未读取或遍历环境变量 |
目录结构
7 文件 · 21.2 KB · 775 行 Shell 4f · 476L
Markdown 2f · 280L
JSON 1f · 19L
├─
▾
data
│ └─
AUDIT-20260313-001.json
JSON
├─
▾
scripts
│ ├─
audit-skill.sh
Shell
│ ├─
list-audits.sh
Shell
│ ├─
quick-scan.sh
Shell
│ └─
test.sh
Shell
├─
README.md
Markdown
└─
SKILL.md
Markdown
安全亮点
✓ SKILL.md 文档完整清晰,功能声明与实际代码完全一致
✓ 纯静态分析工具,不执行被审计代码,符合安全工具设计原则
✓ 审计报告格式规范,包含完整的 findings 结构
✓ 工具自检能力完善(test.sh)
✓ 无凭证收割、无远程执行、无数据外泄
✓ 使用 set -e 错误处理规范
✓ 彩色输出提升可用性