Name: wip-license-hook Security Report — Trusted | ClawSafe
Item: wip-license-hook
Rating: 95
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

5 /100

wip-license-hook

License rug-pull detection. Scans dependencies and forks for license changes, gates upstream merges, maintains a license ledger, and generates a public compliance dashboard.

合法的开源许可证 rug-pull 检测工具，所有功能符合声明，无恶意行为。

Skill Namewip-license-hook

Duration51.8s

Enginepi

ClawHub Wip License Hook v1.9.68 by parkertoddbrooks

📥 623

ClawHub Verdict Suspicious dangerous_execllm_suspiciouspotential_exfiltrationvt_suspicious

✓

Safe to install

可直接使用，工具安全。

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	SKILL.md 声明 filesystem:WRITE，代码创建 LICENSE-LEDGER.json、ledger/snapshots/、dashboar…
Shell	`WRITE`	`WRITE`	✓ Aligned	execSync 调用 npm view/pip show/cargo info/git fetch 等命令，用于获取依赖许可证信息，属于工具正常功能
Network	`READ`	`READ`	✓ Aligned	通过 CLI 工具间接网络访问 npm/pypi/crates.io 获取包许可证信息
Environment	`NONE`	`NONE`	—	未读取任何环境变量，仅使用 process.cwd() 和 process.argv
Skill Invoke	`NONE`	`NONE`	—	无跨技能调用
Clipboard	`NONE`	`NONE`	—	无剪贴板操作
Browser	`NONE`	`NONE`	—	无浏览器操作
Database	`NONE`	`NONE`	—	无数据库操作

7 findings

🔗

Medium External URL 外部 URL

https://img.shields.io/npm/v/@wipcomputer/wip-license-hook

README.md:3

🔗

Medium External URL 外部 URL

https://www.npmjs.com/package/@wipcomputer/wip-license-hook

README.md:3

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/interface-CLI_/_TUI-black

README.md:3

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/interface-MCP_Server-black

README.md:3

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/interface-Claude_Code_Skill-black

README.md:3

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/Universal_Interface_Spec-black?style=flat&color=black

README.md:3

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/$

dist/core/reporter.js:213

File Tree

27 files · 91.5 KB · 2757 lines

TypeScript 12f · 1194L JavaScript 7f · 1016L Markdown 3f · 328L JSON 3f · 113L Shell 2f · 106L

├─ ▾ 📁 dist

│ ├─ ▾ 📁 cli

│ │ ├─ 📜 index.d.ts TypeScript 15L · 449 B

│ │ └─ 📜 index.js JavaScript 169L · 6.6 KB

│ └─ ▾ 📁 core

│ ├─ 📜 detector.d.ts TypeScript 12L · 564 B

│ ├─ 📜 detector.js JavaScript 103L · 2.9 KB

│ ├─ 📜 index.d.ts TypeScript 4L · 582 B

│ ├─ 📜 index.js JavaScript 4L · 495 B

│ ├─ 📜 ledger.d.ts TypeScript 49L · 1.7 KB

│ ├─ 📜 ledger.js JavaScript 71L · 2.1 KB

│ ├─ 📜 reporter.d.ts TypeScript 14L · 657 B

│ ├─ 📜 reporter.js JavaScript 226L · 9.7 KB

│ ├─ 📜 scanner.d.ts TypeScript 39L · 1.1 KB

│ └─ 📜 scanner.js JavaScript 324L · 11.4 KB

├─ ▾ 📁 hooks

│ ├─ 🔧 pre-pull.sh Shell 55L · 2.2 KB

│ └─ 🔧 pre-push.sh Shell 51L · 1.8 KB

├─ ▾ 📁 src

│ ├─ ▾ 📁 cli

│ │ └─ 📜 index.ts TypeScript 189L · 5.9 KB

│ └─ ▾ 📁 core

│ ├─ 📜 detector.ts TypeScript 130L · 3.1 KB

│ ├─ 📜 index.ts TypeScript 4L · 582 B

│ ├─ 📜 ledger.ts TypeScript 116L · 3.0 KB

│ ├─ 📜 reporter.ts TypeScript 255L · 9.6 KB

│ └─ 📜 scanner.ts TypeScript 367L · 10.9 KB

├─ 📝 CHANGELOG.md Markdown 17L · 723 B

├─ 📜 mcp-server.mjs JavaScript 119L · 3.6 KB

├─ 📋 package-lock.json JSON 54L · 1.6 KB

├─ 📋 package.json JSON 43L · 873 B

├─ 📝 README.md Markdown 200L · 6.1 KB

├─ 📝 SKILL.md Markdown 111L · 2.8 KB

└─ 📋 tsconfig.json JSON 16L · 345 B

Dependencies 3 items

Package	Version	Source	Known Vulns	Notes
`@modelcontextprotocol/sdk`	`^1.0.0`	npm	No	官方 MCP SDK，可信
`typescript`	`^5.3.0`	dev	No	devDependencies，仅构建时使用
`@types/node`	`^20.0.0`	dev	No	devDependencies，仅类型检查使用

Security Positives

✓ 所有代码功能与 SKILL.md 声明完全一致，无阴影功能

✓ 无凭证窃取行为，不访问 ~/.ssh、~/.aws、.env 等敏感路径

✓ 无数据外泄，不向外部发送任何数据

✓ 无代码混淆，纯 TypeScript/JavaScript 实现，代码可读

✓ Shell 命令执行仅限于合法的许可证检查工具（npm/pip/cargo/git）

✓ 文件系统操作仅限于项目目录内的配置文件和账本文件

✓ 依赖安全，唯一依赖 @modelcontextprotocol/sdk（官方 MCP SDK）

✓ 代码质量高，有完整的 TypeScript 类型定义

✓ Git hooks 设计合理，pre-push 为 advisory 模式不强制阻断

✓ License 检测算法清晰，基于特征字符串匹配，无动态代码执行

Scan Report

File Tree

Dependencies 3 items

Security Positives