visual-qa 安全扫描报告 — 可信 | ClawSafe

5 /100

visual-qa

Visual regression testing pipeline for web applications

纯视觉回归测试工具，subprocess 用于合法启动本地开发服务器，无恶意行为发现

技能名称visual-qa

分析耗时52.7s

引擎pi

✓

可以安装

无需限制使用，可按需部署

安全发现 2 项

严重性	安全发现	位置
低危	subprocess shell 执行未声明权限提升 capture.py 使用 subprocess.Popen(command, shell=True) 启动本地开发服务器，这是工具合理功能，但未在 allowed-tools 中声明 `process = subprocess.Popen(command, shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE, cwd=cwd, env=env)` → 可选：在 SKILL.md 中声明 shell:WRITE 权限以提高透明度	`scripts/capture.py:65`
低危	依赖无版本锁定供应链 pip install playwright pillow 依赖未指定版本，可能引入供应链风险 `pip install playwright pillow` → 可选：使用 requirements.txt 指定精确版本	`SKILL.md:220`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	scripts/capture.py:73 创建输出目录
网络访问	`READ`	`READ`	✓ 一致	scripts/capture.py:89 page.goto(url) 访问 URL
命令执行	`NONE`	`WRITE`	✓ 一致	scripts/capture.py:65 subprocess.Popen(shell=True)

4 文件 · 30.5 KB · 977 行

Python 3f · 709L Markdown 1f · 268L

├─ ▾ 📁 scripts

│ ├─ 🐍 capture.py Python 277L · 8.4 KB

│ ├─ 🐍 diff.py Python 221L · 7.2 KB

│ └─ 🐍 gate.py Python 211L · 7.3 KB

└─ 📝 SKILL.md Markdown 268L · 7.7 KB

包名	版本	来源	已知漏洞	备注
`playwright`	`*`	pip	否	无版本锁定
`pillow`	`*`	pip	否	无版本锁定

✓ 纯本地图像处理，无数据外传

✓ 使用 Playwright/Pillow 等成熟开源库

✓ 文档清晰完整，功能与代码一致

✓ 无敏感文件访问、无环境变量遍历

✓ 无网络外传行为