skill-drift-guard 安全扫描报告 — 可信 | ClawSafe

5 /100

skill-drift-guard

Trust-then-verify integrity scanner for local repos and OpenClaw skills

Skill Drift Guard 是一个合法的本地安全扫描工具，用于检测 AI skill 中的危险模式（shell执行、网络访问、敏感文件引用等），自身代码未执行任何被检测的危险行为。

技能名称skill-drift-guard

分析耗时49.0s

引擎pi

✓

可以安装

可安全使用。该工具仅执行本地文件系统扫描和模式匹配，不进行网络通信或代码执行。

安全发现 1 项

严重性	安全发现	位置
低危	文档提及危险模式示例文档欺骗 SKILL.md第77行提到 'curl \| bash' 作为危险信号示例，属于文档内容而非代码行为。 risky shell execution patterns like `curl \| bash`, `eval`, `exec`, `subprocess`, `os.system` → 无风险 - 文档说明用途，不影响代码安全性	`SKILL.md:77`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	SKILL.md声明扫描本地文件，scanner.js使用fs.readFileSync
网络访问	`NONE`	`NONE`	—	代码无任何网络请求实现
命令执行	`NONE`	`NONE`	—	rules.js仅定义检测规则，不执行shell命令
环境变量	`NONE`	`NONE`	—	代码不使用process.env处理敏感信息

1 严重 1 项发现

💀

严重危险命令危险 Shell 命令

curl | bash

SKILL.md:77

6 文件 · 83.4 KB · 2868 行

JavaScript 5f · 2751L Markdown 1f · 117L

├─ ▾ 📁 scripts

│ ├─ 📜 cli.js JavaScript 756L · 23.1 KB

│ ├─ 📜 reporters.js JavaScript 588L · 19.7 KB

│ ├─ 📜 rules.js JavaScript 210L · 4.8 KB

│ ├─ 📜 scanner.js JavaScript 1194L · 32.2 KB

│ └─ 📜 version.js JavaScript 3L · 41 B

└─ 📝 SKILL.md Markdown 117L · 3.5 KB

✓ 使用纯 Node.js 标准库，无外部依赖（除 rules.js 自定义规则）

✓ 代码仅执行本地文件扫描和正则模式匹配

✓ 无网络通信能力

✓ 无凭证收割或数据外泄行为

✓ 工具本身是安全扫描器，设计用于检测危险行为

✓ 使用 hashFile 对文件进行 SHA256 哈希验证完整性