中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 5/100
Last scan:3 hr ago Rescan
5 /100
autothink
根据消息复杂度自动/手动切换 AI thinking 模式(low/medium/high)
AutoThink v2 是一个纯本地消息预处理工具,核心功能为 thinking 模式管理和复杂度分析,无网络请求、无敏感文件访问、无数据外传。代码清晰,权限边界明确。
Skill Nameautothink
Duration40.6s
Enginepi
ClawHub Autothink 1.0.0 v2.0.0 by zpy0726
📥 156
ClawHub Verdict Suspicious dangerous_execllm_suspiciousvt_suspicious
Safe to install
可安全使用。

Findings 1 items

Severity Finding Location
Low
文档与代码功能差异 Doc Mismatch
SKILL.md 描述了自动复杂度分析功能,但 v2 版本默认关闭了该功能(autoAnalyze=false),改为纯手动模式。这不是安全风险,而是功能设计变更。
autoAnalyzed: autoAnalyze && !this.isModeSwitch(message)
→ 更新文档说明 v2 默认关闭自动分析,需使用 --auto 显式启用
 src/index.js:77
ResourceDeclaredInferredStatusEvidence
Filesystem NONE NONE 代码仅使用内存 Map 存储,无文件 I/O
Network NONE NONE 无任何网络请求代码
Shell NONE WRITE ✓ Aligned cli.js:47 使用 child_process.spawn 调用 openclaw,但这是工具的核心声明行为
Environment NONE READ ✓ Aligned 仅读取 AUTOTHINK_DEBUG 和 OPENCLAW_SESSION_ID,无敏感信息访问
Skill Invoke READ READ ✓ Aligned 作为 message_preprocessor 正常工作
Clipboard NONE NONE 无剪贴板操作
Browser NONE NONE 无浏览器操作
Database NONE NONE 无数据库操作

File Tree

9 files · 27.6 KB · 1110 lines
Markdown 3f · 486L JavaScript 3f · 486L JSON 3f · 138L
├─ 📁 src
│ ├─ 📜 cli.js JavaScript 180L · 4.9 KB
│ ├─ 📜 hook.js JavaScript 47L · 1.1 KB
│ └─ 📜 index.js JavaScript 259L · 7.3 KB
├─ 📋 _meta.json JSON 50L · 1.3 KB
├─ 📝 DESIGN_V2.md Markdown 164L · 4.0 KB
├─ 📋 package.json JSON 23L · 454 B
├─ 📝 README.md Markdown 129L · 2.6 KB
├─ 📋 skill.json JSON 65L · 1.3 KB
└─ 📝 SKILL.md Markdown 193L · 4.7 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
node >=18.0.0 runtime No 无第三方 npm 依赖,纯 Node.js 内置 API

Security Positives

✓ 零第三方依赖,代码完全自包含
✓ 无网络请求,无数据外传风险
✓ 无敏感文件访问(~/.ssh、~/.aws、.env 等)
✓ 无代码混淆,逻辑清晰可审计
✓ 纯本地内存计算,无持久化风险
✓ shell 执行是工具核心功能(调用 openclaw),非隐蔽行为