中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Low Risk — Risk Score 15/100
Last scan:2 hr ago Rescan
15 /100
vibe-coding-cn
AI 团队协作,自动生成完整项目。5 Agent + SPEC.md + Agent 投票审批 + 需求追溯
Vibe Coding CN 是一个合法的 AI 项目生成技能,核心功能清晰、代码质量良好,无恶意行为发现。存在轻微的权限声明宽泛问题但不影响安全。
Skill Namevibe-coding-cn
Duration62.2s
Enginepi
ClawHub Vibe Coding Cn v4.1.0 by gotomanutd-dot
📥 18
ClawHub Verdict Suspicious dangerous_execllm_suspiciousvt_suspicious
Safe to install
可安全使用。建议:1) 限制 filesystem 权限为真正需要的输出目录;2) 移除不必要的 exec 声明;3) 锁定 ws 依赖版本。

Findings 3 items

Severity Finding Location
Low
权限声明宽泛 Priv Escalation
claw.json 声明了 exec 能力,但实际上仅在 saveFiles 完成后使用 exec 打开文件浏览器。这超出了实际需要的权限范围。
exec(`open ${this.projectDir}`) / exec(`start ${this.projectDir}`) / exec(`xdg-open ${this.projectDir}`)
→ 考虑移除 exec 声明,或使用平台特定的 API 替代 child_process.exec
 executors/vibe-executor-v4.1.js:450
Low
可选依赖版本范围过宽 Supply Chain
ws 依赖使用 ^8.20.0,允许小版本升级。虽然是可选依赖,但仍存在供应链风险。
"ws": "^8.20.0"
→ 锁定为精确版本:"ws": "8.20.0"
 package.json:23
Info
读取环境变量 Sensitive Access
llm-client.js 读取 DASHSCOPE_API_KEY 环境变量。这是正常的 LLM API 调用凭证使用,非恶意行为。
process.env.DASHSCOPE_API_KEY
→ 无需修改,这是合法用途
 executors/llm-client.js:14
ResourceDeclaredInferredStatusEvidence
Filesystem WRITE WRITE ✓ Aligned claw.json:capabilities 声明 file_read/file_write,代码中使用 fs.promises
Network NONE NONE claw.json:permissions.network=false,llm-client.js 仅在 llmCallback 缺失时使用 sessions_…
Shell ADMIN WRITE ✓ Aligned exec 仅用于打开文件浏览器(open/start/xdg-open),非真正的 shell 执行
Environment NONE READ ✓ Aligned llm-client.js:14 读取 DASHSCOPE_API_KEY,属于正常凭证使用
Skill Invoke ADMIN ADMIN ✓ Aligned 使用 sessions_spawn 调用子代理
15 findings
🔗
Medium External URL 外部 URL
https://clawhub.ai/vibe-coding-cn
CLAWHUB-CHECKLIST.md:234
🔗
Medium External URL 外部 URL
https://clawhub.ai
PUBLISH-MANUALLY.md:15
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/version-4.1.0-blue.svg
README.md:5
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/OpenClaw-Skill-green.svg
README.md:6
🔗
Medium External URL 外部 URL
https://openclaw.ai
README.md:6
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/license-MIT-blue.svg
README.md:7
🔗
Medium External URL 外部 URL
https://img.shields.io/github/stars/openclaw/vibe-coding-cn?style=social
README.md:411
🔗
Medium External URL 外部 URL
https://img.shields.io/github/forks/openclaw/vibe-coding-cn?style=social
README.md:412
🔗
Medium External URL 外部 URL
https://docs.openclaw.ai
docs/archive/DOCS-INDEX.md:103
🔗
Medium External URL 外部 URL
https://clawhub.ai/veeramanikandanr48/spec-miner
docs/archive/SPEC-SKILLS-RESEARCH.md:26
🔗
Medium External URL 外部 URL
https://clawhub.ai/datadrivenconstruction/specification-extractor
docs/archive/SPEC-SKILLS-RESEARCH.md:63
🔗
Medium External URL 外部 URL
https://clawhub.ai/kevdogg102396-afk/spec-first-dev
docs/archive/SPEC-SKILLS-RESEARCH.md:100
🔗
Medium External URL 外部 URL
https://clawhub.ai/vinayakv22/speckit-workflow
docs/archive/SPEC-SKILLS-RESEARCH.md:145
🔗
Medium External URL 外部 URL
https://clawhub.ai/aungmyokyaw/spec-kit
docs/archive/SPEC-SKILLS-RESEARCH.md:185
🔗
Medium External URL 外部 URL
https://dashscope.aliyuncs.com/api/v1
executors/llm-client.js:13

File Tree

63 files · 485.3 KB · 20027 lines
Markdown 48f · 15040L JavaScript 8f · 2887L HTML 2f · 1805L JSON 3f · 192L Shell 2f · 103L
├─ 📁 docs
│ └─ 📁 archive
│ ├─ 📝 CLI-REMOVAL-REPORT.md Markdown 249L · 4.3 KB
│ ├─ 📝 DOCS-INDEX.md Markdown 127L · 2.9 KB
│ ├─ 📝 EXECUTION-FLOW.md Markdown 324L · 11.6 KB
│ ├─ 📝 INSTALL-VERIFICATION.md Markdown 197L · 3.8 KB
│ ├─ 📝 INTEGRATION-GUIDE.md Markdown 501L · 11.1 KB
│ ├─ 📝 OPTIMIZATION-PLAN.md Markdown 383L · 7.0 KB
│ ├─ 📝 OPTIMIZATION-SUMMARY.md Markdown 453L · 12.2 KB
│ ├─ 📝 P0-COMPLETE.md Markdown 286L · 6.1 KB
│ ├─ 📝 P0-FINAL.md Markdown 240L · 5.3 KB
│ ├─ 📝 P0-FIX-COMPLETE.md Markdown 147L · 3.5 KB
│ ├─ 📝 PRD-READING-COMPLETE.md Markdown 265L · 6.2 KB
│ ├─ 📝 README-COMPLETE.md Markdown 176L · 3.5 KB
│ ├─ 📝 RELEASE-CHECKLIST.md Markdown 285L · 5.5 KB
│ ├─ 📝 RELEASE.md Markdown 256L · 5.1 KB
│ ├─ 📝 SKILL_SUMMARY.md Markdown 310L · 6.4 KB
│ ├─ 📝 SPEC-SKILLS-RESEARCH.md Markdown 411L · 11.0 KB
│ ├─ 📝 TEMPLATE-OPTIMIZATION.md Markdown 403L · 8.3 KB
│ ├─ 📝 USER-EXPERIENCE-FIXES.md Markdown 333L · 6.9 KB
│ ├─ 📝 V4-COMPLETE.md Markdown 331L · 6.6 KB
│ ├─ 📝 V4.1-COMPLETE.md Markdown 319L · 7.4 KB
│ ├─ 📝 VOTE-INTEGRATION-COMPLETE.md Markdown 302L · 6.1 KB
│ └─ 📝 VOTE-MECHANISM.md Markdown 368L · 9.5 KB
├─ 📁 examples
│ └─ 📝 examples.md Markdown 174L · 3.6 KB
├─ 📁 executors
│ ├─ 📜 analysis-cache.js JavaScript 405L · 10.1 KB
│ ├─ 📜 incremental-updater.js JavaScript 477L · 15.5 KB
│ ├─ 📜 llm-client.js JavaScript 100L · 2.5 KB
│ ├─ 📜 version-manager.js JavaScript 313L · 7.9 KB
│ └─ 📜 vibe-executor-v4.1.js JavaScript 863L · 28.6 KB
├─ 📁 scripts
│ ├─ 🔧 install-local.sh Shell 46L · 997 B
│ └─ 🔧 publish.sh Shell 57L · 1.2 KB
├─ 📁 templates
│ ├─ 📝 analyst.prompt.md Markdown 278L · 6.8 KB
│ ├─ 📝 architect.prompt.md Markdown 378L · 8.0 KB
│ ├─ 📝 developer.prompt.md Markdown 493L · 11.5 KB
│ └─ 📝 tester.prompt.md Markdown 357L · 10.6 KB
├─ 📁 ui
│ ├─ 📄 vibe-dashboard-v2.html HTML 752L · 21.3 KB
│ └─ 📄 vibe-dashboard.html HTML 1053L · 34.1 KB
├─ 📋 claw.json JSON 116L · 2.7 KB
├─ 📝 CLAWHUB-CHECKLIST.md Markdown 285L · 5.6 KB
├─ 📝 CLAWHUB-PUBLISH.md Markdown 214L · 3.8 KB
├─ 📝 CLEANUP-REPORT.md Markdown 261L · 5.3 KB
├─ 📝 CODE-REVIEW.md Markdown 433L · 8.3 KB
├─ 📝 DEPENDENCIES.md Markdown 163L · 2.7 KB
├─ 📝 ENHANCED-COLLABORATION.md Markdown 354L · 8.2 KB
├─ 📝 FINAL-RELEASE-REPORT.md Markdown 268L · 5.5 KB
├─ 📝 INCREMENTAL-ANALYSIS-v2.md Markdown 429L · 9.2 KB
├─ 📜 index.js JavaScript 190L · 6.3 KB
├─ 📝 OPENCLAW-INTEGRATION.md Markdown 382L · 9.7 KB
├─ 📝 ORCHESTRATOR-GUIDE.md Markdown 317L · 6.9 KB
├─ 📋 package-lock.json JSON 43L · 974 B
├─ 📋 package.json JSON 33L · 697 B
├─ 📝 PUBLISH-MANUALLY.md Markdown 250L · 4.6 KB
├─ 📝 QUICKSTART.md Markdown 195L · 3.8 KB
├─ 📝 README.md Markdown 412L · 9.0 KB
├─ 📝 RELEASE-NOW.md Markdown 231L · 4.2 KB
├─ 📜 server.js JavaScript 218L · 6.3 KB
├─ 📝 SKILL.md Markdown 512L · 12.9 KB
├─ 📝 SPEC-MD-FORMAT.md Markdown 469L · 9.6 KB
├─ 📜 test-p0-e2e.js JavaScript 321L · 9.9 KB
├─ 📝 TODO-v3.md Markdown 278L · 6.9 KB
├─ 📝 TRACEABILITY-MATRIX.md Markdown 296L · 6.7 KB
├─ 📝 UI-GUIDE.md Markdown 394L · 11.4 KB
├─ 📝 VERSIONING-GUIDE.md Markdown 404L · 8.4 KB
└─ 📝 WELCOME.md Markdown 147L · 2.8 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
ws ^8.20.0 npm No 可选依赖,仅用于可视化监控;无版本锁定

Security Positives

✓ 代码结构清晰,模块化良好(executors/ 目录分离职责)
✓ 文档与实现基本一致,无明显阴影功能
✓ 无凭证窃取行为(DASHSCOPE_API_KEY 仅用于调用自己的 API)
✓ 无远程代码执行、无 Base64 混淆、无敏感文件遍历
✓ 质量门禁机制完善(qualityCheck 函数)
✓ 版本管理完整(version-manager.js)
✓ 无 HTML 注释中的隐藏指令