Scan Report
This report was generated in Chinese. Some content may be in Chinese.
0 /100
skill-guard
ClawHub 技能安装前的安全扫描工具,使用 mcp-scan 检测提示词注入、恶意代码、硬编码凭证和数据外泄 URL
skill-guard 是一个合法的 ClawHub 技能预安装安全扫描工具,功能、声明与代码行为高度一致,无恶意行为。
Safe to install
直接使用,文件结构简单干净。
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Shell | WRITE | WRITE | ✓ Aligned | SKILL.md 声明通过 clawhub CLI 安装技能;scripts/safe-install.sh:76 执行 clawhub install |
| Filesystem | WRITE | WRITE | ✓ Aligned | safe-install.sh:83 mkdir -p $SKILLS_DIR;safe-install.sh:87 mv $staged_path 到最终目录 |
| Network | READ | READ | ✓ Aligned | safe-install.sh:76 clawhub install 从 ClawHub 下载技能;safe-install.sh:108 uvx mcp-sc… |
| Environment | READ | READ | ✓ Aligned | safe-install.sh:7 CLAWHUB_WORKDIR 环境变量用于自定义安装路径 |
2 Critical 3 findings
Critical Dangerous Command 危险 Shell 命令
rm -rf / SKILL.md:91 Critical Dangerous Command 危险 Shell 命令
curl -LsSf https://astral.sh/uv/install.sh | sh SKILL.md:96 Medium External URL 外部 URL
https://astral.sh/uv/install.sh SKILL.md:96 File Tree
3 files · 10.0 KB · 321 lines Shell 1f · 211L
Markdown 1f · 105L
JSON 1f · 5L
├─
▾
scripts
│ └─
safe-install.sh
Shell
├─
_meta.json
JSON
└─
SKILL.md
Markdown
Security Positives
✓ 工具目的明确:技能安装前安全扫描,代码与文档高度一致
✓ 使用临时目录(/tmp/skill-guard-staging)隔离下载内容,不污染真实技能目录
✓ 安全扫描使用行业标准工具 mcp-scan(Snyk/Invariant Labs)
✓ 检测到威胁时不会自动安装(exit 2),需用户手动确认
✓ 无凭证收割、远程代码执行、数据外泄等高危行为
✓ 错误处理完善,依赖检查清晰
✓ 文档中 rm -rf / 和 curl | sh 均为使用示例或前置条件说明,非实际执行代码