Name: wip-license-hook 安全扫描报告 — 可信 | ClawSafe
Item: wip-license-hook
Rating: 95
Author: ClawSafe

5 /100

wip-license-hook

License rug-pull detection. Scans dependencies and forks for license changes, gates upstream merges, maintains a license ledger, and generates a public compliance dashboard.

合法的开源许可证 rug-pull 检测工具，所有功能符合声明，无恶意行为。

技能名称wip-license-hook

分析耗时51.8s

引擎pi

ClawHub Wip License Hook v1.9.68 by parkertoddbrooks

📥 623

ClawHub 判定可疑 dangerous_execllm_suspiciouspotential_exfiltrationvt_suspicious

✓

可以安装

可直接使用，工具安全。

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	SKILL.md 声明 filesystem:WRITE，代码创建 LICENSE-LEDGER.json、ledger/snapshots/、dashboar…
命令执行	`WRITE`	`WRITE`	✓ 一致	execSync 调用 npm view/pip show/cargo info/git fetch 等命令，用于获取依赖许可证信息，属于工具正常功能
网络访问	`READ`	`READ`	✓ 一致	通过 CLI 工具间接网络访问 npm/pypi/crates.io 获取包许可证信息
环境变量	`NONE`	`NONE`	—	未读取任何环境变量，仅使用 process.cwd() 和 process.argv
技能调用	`NONE`	`NONE`	—	无跨技能调用
剪贴板	`NONE`	`NONE`	—	无剪贴板操作
浏览器	`NONE`	`NONE`	—	无浏览器操作
数据库	`NONE`	`NONE`	—	无数据库操作

7 项发现

🔗

中危外部 URL 外部 URL

https://img.shields.io/npm/v/@wipcomputer/wip-license-hook

README.md:3

🔗

中危外部 URL 外部 URL

https://www.npmjs.com/package/@wipcomputer/wip-license-hook

README.md:3

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/interface-CLI_/_TUI-black

README.md:3

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/interface-MCP_Server-black

README.md:3

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/interface-Claude_Code_Skill-black

README.md:3

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/Universal_Interface_Spec-black?style=flat&color=black

README.md:3

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/$

dist/core/reporter.js:213

目录结构

27 文件 · 91.5 KB · 2757 行

TypeScript 12f · 1194L JavaScript 7f · 1016L Markdown 3f · 328L JSON 3f · 113L Shell 2f · 106L

├─ ▾ 📁 dist

│ ├─ ▾ 📁 cli

│ │ ├─ 📜 index.d.ts TypeScript 15L · 449 B

│ │ └─ 📜 index.js JavaScript 169L · 6.6 KB

│ └─ ▾ 📁 core

│ ├─ 📜 detector.d.ts TypeScript 12L · 564 B

│ ├─ 📜 detector.js JavaScript 103L · 2.9 KB

│ ├─ 📜 index.d.ts TypeScript 4L · 582 B

│ ├─ 📜 index.js JavaScript 4L · 495 B

│ ├─ 📜 ledger.d.ts TypeScript 49L · 1.7 KB

│ ├─ 📜 ledger.js JavaScript 71L · 2.1 KB

│ ├─ 📜 reporter.d.ts TypeScript 14L · 657 B

│ ├─ 📜 reporter.js JavaScript 226L · 9.7 KB

│ ├─ 📜 scanner.d.ts TypeScript 39L · 1.1 KB

│ └─ 📜 scanner.js JavaScript 324L · 11.4 KB

├─ ▾ 📁 hooks

│ ├─ 🔧 pre-pull.sh Shell 55L · 2.2 KB

│ └─ 🔧 pre-push.sh Shell 51L · 1.8 KB

├─ ▾ 📁 src

│ ├─ ▾ 📁 cli

│ │ └─ 📜 index.ts TypeScript 189L · 5.9 KB

│ └─ ▾ 📁 core

│ ├─ 📜 detector.ts TypeScript 130L · 3.1 KB

│ ├─ 📜 index.ts TypeScript 4L · 582 B

│ ├─ 📜 ledger.ts TypeScript 116L · 3.0 KB

│ ├─ 📜 reporter.ts TypeScript 255L · 9.6 KB

│ └─ 📜 scanner.ts TypeScript 367L · 10.9 KB

├─ 📝 CHANGELOG.md Markdown 17L · 723 B

├─ 📜 mcp-server.mjs JavaScript 119L · 3.6 KB

├─ 📋 package-lock.json JSON 54L · 1.6 KB

├─ 📋 package.json JSON 43L · 873 B

├─ 📝 README.md Markdown 200L · 6.1 KB

├─ 📝 SKILL.md Markdown 111L · 2.8 KB

└─ 📋 tsconfig.json JSON 16L · 345 B

依赖分析 3 项

包名	版本	来源	已知漏洞	备注
`@modelcontextprotocol/sdk`	`^1.0.0`	npm	否	官方 MCP SDK，可信
`typescript`	`^5.3.0`	dev	否	devDependencies，仅构建时使用
`@types/node`	`^20.0.0`	dev	否	devDependencies，仅类型检查使用

安全亮点

✓ 所有代码功能与 SKILL.md 声明完全一致，无阴影功能

✓ 无凭证窃取行为，不访问 ~/.ssh、~/.aws、.env 等敏感路径

✓ 无数据外泄，不向外部发送任何数据

✓ 无代码混淆，纯 TypeScript/JavaScript 实现，代码可读

✓ Shell 命令执行仅限于合法的许可证检查工具（npm/pip/cargo/git）

✓ 文件系统操作仅限于项目目录内的配置文件和账本文件

✓ 依赖安全，唯一依赖 @modelcontextprotocol/sdk（官方 MCP SDK）

✓ 代码质量高，有完整的 TypeScript 类型定义

✓ Git hooks 设计合理，pre-push 为 advisory 模式不强制阻断

✓ License 检测算法清晰，基于特征字符串匹配，无动态代码执行