skill-drift-guard Security Report — Trusted | ClawSafe

5 /100

skill-drift-guard

Trust-then-verify integrity scanner for local repos and OpenClaw skills

Skill Drift Guard 是一个合法的本地安全扫描工具，用于检测 AI skill 中的危险模式（shell执行、网络访问、敏感文件引用等），自身代码未执行任何被检测的危险行为。

Skill Nameskill-drift-guard

Duration49.0s

Enginepi

✓

Safe to install

可安全使用。该工具仅执行本地文件系统扫描和模式匹配，不进行网络通信或代码执行。

Findings 1 items

Severity	Finding	Location
Low	文档提及危险模式示例 Doc Mismatch SKILL.md第77行提到 'curl \| bash' 作为危险信号示例，属于文档内容而非代码行为。 risky shell execution patterns like `curl \| bash`, `eval`, `exec`, `subprocess`, `os.system` → 无风险 - 文档说明用途，不影响代码安全性	`SKILL.md:77`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md声明扫描本地文件，scanner.js使用fs.readFileSync
Network	`NONE`	`NONE`	—	代码无任何网络请求实现
Shell	`NONE`	`NONE`	—	rules.js仅定义检测规则，不执行shell命令
Environment	`NONE`	`NONE`	—	代码不使用process.env处理敏感信息

1 Critical 1 findings

💀

Critical Dangerous Command 危险 Shell 命令

curl | bash

SKILL.md:77

6 files · 83.4 KB · 2868 lines

JavaScript 5f · 2751L Markdown 1f · 117L

├─ ▾ 📁 scripts

│ ├─ 📜 cli.js JavaScript 756L · 23.1 KB

│ ├─ 📜 reporters.js JavaScript 588L · 19.7 KB

│ ├─ 📜 rules.js JavaScript 210L · 4.8 KB

│ ├─ 📜 scanner.js JavaScript 1194L · 32.2 KB

│ └─ 📜 version.js JavaScript 3L · 41 B

└─ 📝 SKILL.md Markdown 117L · 3.5 KB

✓ 使用纯 Node.js 标准库，无外部依赖（除 rules.js 自定义规则）

✓ 代码仅执行本地文件扫描和正则模式匹配

✓ 无网络通信能力

✓ 无凭证收割或数据外泄行为

✓ 工具本身是安全扫描器，设计用于检测危险行为

✓ 使用 hashFile 对文件进行 SHA256 哈希验证完整性