中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:5 小时前 重新扫描
5 /100
autothink
根据消息复杂度自动/手动切换 AI thinking 模式(low/medium/high)
AutoThink v2 是一个纯本地消息预处理工具,核心功能为 thinking 模式管理和复杂度分析,无网络请求、无敏感文件访问、无数据外传。代码清晰,权限边界明确。
技能名称autothink
分析耗时40.6s
引擎pi
ClawHub Autothink 1.0.0 v2.0.0 by zpy0726
📥 156
ClawHub 判定 可疑 dangerous_execllm_suspiciousvt_suspicious
可以安装
可安全使用。

安全发现 1 项

严重性 安全发现 位置
低危
文档与代码功能差异 文档欺骗
SKILL.md 描述了自动复杂度分析功能,但 v2 版本默认关闭了该功能(autoAnalyze=false),改为纯手动模式。这不是安全风险,而是功能设计变更。
autoAnalyzed: autoAnalyze && !this.isModeSwitch(message)
→ 更新文档说明 v2 默认关闭自动分析,需使用 --auto 显式启用
 src/index.js:77
资源类型声明权限推断权限状态证据
文件系统 NONE NONE 代码仅使用内存 Map 存储,无文件 I/O
网络访问 NONE NONE 无任何网络请求代码
命令执行 NONE WRITE ✓ 一致 cli.js:47 使用 child_process.spawn 调用 openclaw,但这是工具的核心声明行为
环境变量 NONE READ ✓ 一致 仅读取 AUTOTHINK_DEBUG 和 OPENCLAW_SESSION_ID,无敏感信息访问
技能调用 READ READ ✓ 一致 作为 message_preprocessor 正常工作
剪贴板 NONE NONE 无剪贴板操作
浏览器 NONE NONE 无浏览器操作
数据库 NONE NONE 无数据库操作

目录结构

9 文件 · 27.6 KB · 1110 行
Markdown 3f · 486L JavaScript 3f · 486L JSON 3f · 138L
├─ 📁 src
│ ├─ 📜 cli.js JavaScript 180L · 4.9 KB
│ ├─ 📜 hook.js JavaScript 47L · 1.1 KB
│ └─ 📜 index.js JavaScript 259L · 7.3 KB
├─ 📋 _meta.json JSON 50L · 1.3 KB
├─ 📝 DESIGN_V2.md Markdown 164L · 4.0 KB
├─ 📋 package.json JSON 23L · 454 B
├─ 📝 README.md Markdown 129L · 2.6 KB
├─ 📋 skill.json JSON 65L · 1.3 KB
└─ 📝 SKILL.md Markdown 193L · 4.7 KB

依赖分析 1 项

包名版本来源已知漏洞备注
node >=18.0.0 runtime 无第三方 npm 依赖,纯 Node.js 内置 API

安全亮点

✓ 零第三方依赖,代码完全自包含
✓ 无网络请求,无数据外传风险
✓ 无敏感文件访问(~/.ssh、~/.aws、.env 等)
✓ 无代码混淆,逻辑清晰可审计
✓ 纯本地内存计算,无持久化风险
✓ shell 执行是工具核心功能(调用 openclaw),非隐蔽行为