gitlab-auto-review 安全扫描报告 — 可信 | ClawSafe

5 /100

gitlab-auto-review

Automated AI code review for GitLab Merge Requests via polling

GitLab MR自动代码审查工具，声明能力与实际行为完全一致，无越权、无阴影功能、无凭证外泄。

技能名称gitlab-auto-review

分析耗时28.4s

引擎pi

✓

可以安装

可直接使用。

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	scripts/gitlab-api.js:18 所有请求发往 ${GITLAB_URL}/api/v4
环境变量	`READ`	`READ`	✓ 一致	scripts/gitlab-api.js:14 仅读取 GITLAB_URL 和 GITLAB_TOKEN
文件系统	`WRITE`	`WRITE`	✓ 一致	scripts/gitlab-api.js:133 仅在 post-comment --file 场景下读取 JSON
命令执行	`NONE`	`NONE`	—	代码无任何 subprocess/spawn/exec 调用

目录结构

5 文件 · 12.3 KB · 362 行

Markdown 3f · 184L JavaScript 1f · 173L JSON 1f · 5L

├─ ▾ 📁 references

│ ├─ 📝 cron-setup.md Markdown 41L · 1.9 KB

│ └─ 📝 review-guidelines.md Markdown 64L · 2.1 KB

├─ ▾ 📁 scripts

│ └─ 📜 gitlab-api.js JavaScript 173L · 5.2 KB

├─ 📋 _meta.json JSON 5L · 137 B

└─ 📝 SKILL.md Markdown 79L · 2.9 KB

✓ 代码结构清晰，所有命令均有文档说明

✓ 网络请求仅指向用户配置的 GITLAB_URL，无硬编码第三方地址

✓ 凭证仅用于 GitLab API 鉴权，不外传

✓ review-guidelines.md 提供详细的审查规则，文档完善

✓ cron-setup.md 明确标注 --file 模式防编码问题，专业考虑周全

✓ 无 shadow functionality，代码行为与声明完全一致