pua 安全扫描报告 — 可信 | ClawSafe

5 /100

pua

PUA话术增强器 - 用户输入普通指令，自动拼接PUA风格前缀，生成优化后的提示词

纯文本模板引擎，PUA话术前缀生成器，无任何恶意代码、安全越权或数据外泄行为，能力边界清晰。

技能名称pua

分析耗时87.5s

引擎pi

✓

可以安装

可直接使用。该技能仅处理本地文本模板拼接，无网络、shell、凭证或敏感文件访问能力。

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	index.js:43 writeFileSync(CONFIG_FILE) 仅操作 pua-config.json
网络访问	`NONE`	`NONE`	—	全部6个JS文件无任何 http\|fetch\|request\|axios\|curl\|net 模块调用
命令执行	`NONE`	`NONE`	—	全部6个JS文件无任何 exec\|spawn\|execSync\|execFile 模块调用
环境变量	`NONE`	`NONE`	—	无 os.environ 遍历，无敏感关键字匹配
技能调用	`NONE`	`NONE`	—	无动态 require 或 child_process 调用
剪贴板	`NONE`	`NONE`	—	无 clipboard 相关代码
浏览器	`NONE`	`NONE`	—	无 puppeteer\|playwright\|selenium 相关代码
数据库	`NONE`	`NONE`	—	无任何数据库驱动或SQL操作

4 项发现

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/License-MIT-yellow.svg

README.md:5

🔗

中危外部 URL 外部 URL

https://opensource.org/licenses/MIT

README.md:5

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/Lobster_Tested-147%20lobsters-orange.svg

README.md:6

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/OpenClaw-Skill-blue.svg

README.md:7

目录结构

10 文件 · 64.8 KB · 2281 行

JavaScript 6f · 1200L Markdown 2f · 717L JSON 2f · 364L

├─ ▾ 📁 plugins

│ ├─ 📜 index.js JavaScript 206L · 4.3 KB

│ ├─ 📜 level1-gentle.js JavaScript 104L · 3.8 KB

│ ├─ 📜 level2-pressure.js JavaScript 101L · 3.4 KB

│ ├─ 📜 level3-manipulation.js JavaScript 101L · 3.7 KB

│ └─ 📜 level4-nuclear.js JavaScript 101L · 4.0 KB

├─ 📜 index.js JavaScript 587L · 17.5 KB

├─ 📋 package.json JSON 51L · 1.1 KB

├─ 📝 README.md Markdown 348L · 7.7 KB

├─ 📝 SKILL.md Markdown 369L · 10.3 KB

└─ 📋 tech-library.json JSON 313L · 9.0 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`commander`	`^12.0.0`	npm	否	命令行参数解析库，可信

安全亮点

✓ 无网络请求，零外部通信

✓ 无shell/子进程执行

✓ 无凭证或敏感文件访问

✓ 无代码混淆或动态执行

✓ 声明能力与实际代码完全一致

✓ 单依赖且为可信npm包(commander)

✓ 配置文件作用域极小(pua-config.json)

✓ 插件系统为纯内存模板拼接，无文件系统越界