中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:10 hr ago Rescan
5 /100
skill-drift-guard
Trust-then-verify integrity scanner for local repos and OpenClaw skills
Skill Drift Guard 是一个合法的本地安全扫描工具,用于检测 AI skill 中的危险模式(shell执行、网络访问、敏感文件引用等),自身代码未执行任何被检测的危险行为。
Skill Nameskill-drift-guard
Duration49.0s
Enginepi
Safe to install
可安全使用。该工具仅执行本地文件系统扫描和模式匹配,不进行网络通信或代码执行。

Findings 1 items

Severity Finding Location
Low
文档提及危险模式示例 Doc Mismatch
SKILL.md第77行提到 'curl | bash' 作为危险信号示例,属于文档内容而非代码行为。
risky shell execution patterns like `curl | bash`, `eval`, `exec`, `subprocess`, `os.system`
→ 无风险 - 文档说明用途,不影响代码安全性
 SKILL.md:77
ResourceDeclaredInferredStatusEvidence
Filesystem READ READ ✓ Aligned SKILL.md声明扫描本地文件,scanner.js使用fs.readFileSync
Network NONE NONE 代码无任何网络请求实现
Shell NONE NONE rules.js仅定义检测规则,不执行shell命令
Environment NONE NONE 代码不使用process.env处理敏感信息
1 Critical 1 findings
💀
Critical Dangerous Command 危险 Shell 命令
curl | bash
SKILL.md:77

File Tree

6 files · 83.4 KB · 2868 lines
JavaScript 5f · 2751L Markdown 1f · 117L
├─ 📁 scripts
│ ├─ 📜 cli.js JavaScript 756L · 23.1 KB
│ ├─ 📜 reporters.js JavaScript 588L · 19.7 KB
│ ├─ 📜 rules.js JavaScript 210L · 4.8 KB
│ ├─ 📜 scanner.js JavaScript 1194L · 32.2 KB
│ └─ 📜 version.js JavaScript 3L · 41 B
└─ 📝 SKILL.md Markdown 117L · 3.5 KB

Security Positives

✓ 使用纯 Node.js 标准库,无外部依赖(除 rules.js 自定义规则)
✓ 代码仅执行本地文件扫描和正则模式匹配
✓ 无网络通信能力
✓ 无凭证收割或数据外泄行为
✓ 工具本身是安全扫描器,设计用于检测危险行为
✓ 使用 hashFile 对文件进行 SHA256 哈希验证完整性