CXM Neural Memory Security Report — Trusted | ClawSafe

5 /100

CXM Neural Memory

基于 RAG 的代码语义搜索引擎，支持依赖图构建、上下文推断和提示词增强

CXM Neural Memory 是一个合法的 RAG 代码语义搜索工具，预扫描标记的7个「硬编码IP」实为 NVIDIA CUDA 包版本号（如 nvidia-cublas-cu12==12.8.4.1），属误报。代码无恶意行为，subprocess 调用均使用安全列表参数，所有操作均在文档声明范围内。

Skill NameCXM Neural Memory

Duration69.1s

Enginepi

✓

Safe to install

该技能可安全使用。建议审查 requirements.txt 中的 editable-git 依赖来源（git+ssh:// 和 git+https://），确保来源可信。

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	SKILL.md 声明 'indexing files'；代码在 RAGEngine.index_directory 中递归读写文件
Network	`READ`	`READ`	✓ Aligned	SKILL.md 声明首次从 HuggingFace Hub 下载模型；sentence_transformers.SentenceTransformer 在初…
Shell	`WRITE`	`WRITE`	✓ Aligned	代码使用 subprocess.run(['git', 'ls-files', ...], shell=False) 等安全列表调用，符合声明的 git/fin…
Environment	`READ`	`READ`	✓ Aligned	gather_shell_context() 读取 USER/SHELL 环境变量，gather_all() 返回 system_context，均在文档声明范…
Clipboard	`WRITE`	`WRITE`	✓ Aligned	cli.py:147 使用 pyperclip.copy(enhanced_prompt) 将结果复制到剪贴板，已声明

7 High 11 findings

📡

High IP Address 硬编码 IP 地址

5.2.18.0

requirements.txt:91

📡

High IP Address 硬编码 IP 地址

12.8.4.1

requirements.txt:107

📡

High IP Address 硬编码 IP 地址

9.10.2.21

requirements.txt:111

📡

High IP Address 硬编码 IP 地址

11.3.3.83

requirements.txt:112

📡

High IP Address 硬编码 IP 地址

1.13.1.3

requirements.txt:113

📡

High IP Address 硬编码 IP 地址

11.7.3.90

requirements.txt:115

📡

High IP Address 硬编码 IP 地址

12.5.8.93

requirements.txt:116

🔗

Medium External URL 外部 URL

https://www.python.org/downloads/

docs/install.md:45

🔗

Medium External URL 外部 URL

https://git-scm.com/

docs/install.md:46

🔗

Medium External URL 外部 URL

https://visualstudio.microsoft.com/visual-cpp-build-tools/

docs/install.md:50

📧

Info Email 邮箱地址

[email protected]

requirements.txt:25

File Tree

48 files · 200.3 KB · 5548 lines

Python 31f · 4425L Markdown 7f · 561L Text 2f · 248L YAML 3f · 173L JSON 4f · 103L TOML 1f · 38L

├─ ▾ 📁 docs

│ ├─ ▾ 📁 cxm-neural-memory

│ │ └─ 📝 SKILL.md Markdown 63L · 2.7 KB

│ ├─ 📋 agent_skill.json JSON 85L · 3.2 KB

│ ├─ 📝 agent_skill.md Markdown 55L · 2.4 KB

│ ├─ 📝 cli-reference.md Markdown 110L · 3.7 KB

│ ├─ 📝 install.md Markdown 90L · 2.6 KB

│ ├─ 📝 README_SKILL.md Markdown 112L · 3.5 KB

│ └─ 📝 visions.md Markdown 68L · 4.4 KB

├─ ▾ 📁 src

│ ├─ ▾ 📁 core

│ │ ├─ 🐍 __init__.py Python 1L · 39 B

│ │ ├─ 🐍 architect.py Python 53L · 2.2 KB

│ │ ├─ 🐍 audit.py Python 43L · 1.9 KB

│ │ ├─ 🐍 context_store.py Python 32L · 1.1 KB

│ │ ├─ 🐍 diagnostics.py Python 35L · 1.3 KB

│ │ ├─ 🐍 enhancer.py Python 263L · 8.3 KB

│ │ ├─ 🐍 factory.py Python 128L · 5.3 KB

│ │ ├─ 🐍 grapher.py Python 94L · 3.2 KB

│ │ ├─ 🐍 interfaces.py Python 37L · 1.2 KB

│ │ ├─ 🐍 patcher.py Python 106L · 4.3 KB

│ │ ├─ 🐍 pattern_optimizer.py Python 20L · 837 B

│ │ ├─ 🐍 rag.py Python 532L · 20.4 KB

│ │ ├─ 🐍 reranker.py Python 147L · 4.9 KB

│ │ ├─ 🐍 retriever.py Python 193L · 5.7 KB

│ │ └─ 🐍 watcher.py Python 84L · 3.0 KB

│ ├─ ▾ 📁 engines

│ │ ├─ 📋 claude-opus.json JSON 6L · 248 B

│ │ ├─ 📋 gemini-pro.json JSON 6L · 258 B

│ │ └─ 📋 gpt-alpha.json JSON 6L · 246 B

│ ├─ ▾ 📁 locales

│ │ ├─ 📋 de.yaml YAML 83L · 3.1 KB

│ │ └─ 📋 en.yaml YAML 83L · 3.0 KB

│ ├─ ▾ 📁 ml

│ │ ├─ 🐍 __init__.py Python 1L · 39 B

│ │ ├─ 🐍 context_evaluator.py Python 126L · 5.1 KB

│ │ ├─ 🐍 intent_analyzer.py Python 183L · 7.3 KB

│ │ ├─ 🐍 prompt_assembler.py Python 295L · 10.2 KB

│ │ └─ 🐍 prompt_refiner.py Python 378L · 12.2 KB

│ ├─ ▾ 📁 resources

│ │ ├─ ▾ 📁 diagnostic-templates

│ │ │ └─ 📄 probe-gemini.txt Text 1L · 225 B

│ │ └─ ▾ 📁 patterns

│ │ └─ 📋 math-precision.yaml YAML 7L · 348 B

│ ├─ ▾ 📁 tools

│ │ ├─ 🐍 context_gatherer.py Python 273L · 8.9 KB

│ │ └─ 🐍 github_cloner.py Python 60L · 2.5 KB

│ ├─ ▾ 📁 utils

│ │ ├─ 🐍 i18n.py Python 41L · 1.2 KB

│ │ ├─ 🐍 logger.py Python 36L · 1.2 KB

│ │ └─ 🐍 paths.py Python 77L · 2.8 KB

│ ├─ 🐍 cli.py Python 405L · 16.3 KB

│ ├─ 🐍 config.py Python 97L · 3.2 KB

│ ├─ 🐍 dashboard.py Python 320L · 13.8 KB

│ ├─ 🐍 gui.py Python 111L · 3.8 KB

│ ├─ 🐍 main.py Python 157L · 5.4 KB

│ └─ 🐍 skill_exporter.py Python 97L · 4.3 KB

├─ 📄 pyproject.toml TOML 38L · 799 B

├─ 📄 requirements.txt Text 247L · 5.1 KB

└─ 📝 SKILL.md Markdown 63L · 2.7 KB

Dependencies 5 items

Package	Version	Source	Known Vulns	Notes
`sentence-transformers`	`5.2.3`	pip	No	下载 HuggingFace 模型，约 80-400MB
`faiss-cpu`	`1.13.2`	pip	No	向量检索库
`context_engine`	`git+ssh://[email protected]/Joeavaib/llm.git`	editable	No	Editable git 依赖，来源为 GitHub 私有仓库
`contextmachine`	`git+https://github.com/Joeavaib/partner.git`	editable	No	Editable git 依赖
`maestro`	`git+https://github.com/Joeavaib/maestro.git`	editable	No	Editable git 依赖

Security Positives

✓ RAGEngine.SECRET_PATTERNS 自动检测并掩码 API key、AWS 凭证、GitHub Token、Private Key 等敏感信息

✓ GitHub 克隆器实现了 URL 白名单验证（仅允许 github.com HTTPS）和路径遍历防护

✓ subprocess 调用全部使用 shell=False + 列表参数，防止命令注入

✓ index_directory 实现了 .gitignore 兼容性和 .cxm.yaml 路径守卫机制

✓ index_file 对索引内容进行敏感信息脱敏（_mask_secrets）

✓ FAISS 索引使用 FileLock 并发保护，防止数据损坏

✓ 文档完整声明了所有能力（本地索引、模型下载、凭证读取范围），无阴影功能

Scan Report

File Tree

Dependencies 5 items

Security Positives