中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Low Risk — Risk Score 15/100
Last scan:2 hr ago Rescan
15 /100
improvement-discriminator
多信号评分引擎:启发式规则+评估量规+LLM裁判+多审阅者盲审面板
improvement-discriminator是一个合法的代码评分工具,存在轻微的文档-行为差异(未声明网络调用权限),但无恶意行为证据。
Skill Nameimprovement-discriminator
Duration55.1s
Enginepi
ClawHub Improvement Discriminator v1.1.1 by lanyasheng
📥 40 📦 1
ClawHub Verdict Suspicious dynamic_code_executionllm_suspicious
Safe to install
建议在SKILL.md的triggers部分补充声明network:READ权限(用于调用LLM API),硬编码凭证仅用于测试代码不影响生产安全。

Findings 2 items

Severity Finding Location
Low
未声明网络调用权限 Doc Mismatch
SKILL.md未声明该skill会调用外部LLM API(Claude/OpenAI),allowed-tools中无相关映射。代码实际通过anthropic/openai SDK进行网络调用。
base_url = self.config.base_url or os.environ.get("ANTHROPIC_BASE_URL")
→ 在SKILL.md中声明network:READ权限,说明会调用Claude/OpenAI API进行语义评分
 interfaces/llm_judge.py:131
Low
测试代码包含demo凭证 Sensitive Access
测试文件中硬编码了demo_password_123和DEMO_ONLY_NOT_FOR_PRODUCTION字符串,用于测试数据加密功能。这些是显式标注为测试专用的凭证。
password="demo_password_123"
→ 确认测试凭证仅用于本地测试,不影响生产环境
 tests/test_p2a_integration.py:79
ResourceDeclaredInferredStatusEvidence
Filesystem NONE READ ✓ Aligned scripts/score.py:420 读取输入JSON
Network NONE READ ✗ Violation interfaces/llm_judge.py:131-153 调用外部API
Shell NONE NONE 无shell执行代码
2 High 2 findings
🔑
High API Key 疑似硬编码凭证
password="DEMO_ONLY_NOT_FOR_PRODUCTION"
interfaces/critic_engine.py:685
🔑
High API Key 疑似硬编码凭证
password="demo_password_123"
tests/test_p2a_integration.py:79

File Tree

14 files · 208.1 KB · 5974 lines
Python 12f · 5816L Markdown 2f · 158L
├─ 📁 interfaces
│ ├─ 🐍 __init__.py Python 49L · 1.1 KB
│ ├─ 🐍 assertions.py Python 569L · 17.4 KB
│ ├─ 🐍 critic_engine.py Python 1144L · 40.0 KB
│ ├─ 🐍 external_regression.py Python 672L · 21.2 KB
│ ├─ 🐍 human_review.py Python 638L · 20.6 KB
│ └─ 🐍 llm_judge.py Python 240L · 9.2 KB
├─ 📁 scripts
│ ├─ 🐍 rubric_evidence.py Python 289L · 11.2 KB
│ └─ 🐍 score.py Python 675L · 25.7 KB
├─ 📁 tests
│ ├─ 🐍 test_llm_judge.py Python 417L · 15.3 KB
│ ├─ 🐍 test_p1_integration.py Python 344L · 10.6 KB
│ ├─ 🐍 test_p2a_integration.py Python 465L · 15.5 KB
│ └─ 🐍 test_score.py Python 314L · 12.0 KB
├─ 📝 README.md Markdown 3L · 88 B
└─ 📝 SKILL.md Markdown 155L · 8.1 KB

Dependencies 2 items

PackageVersionSourceKnown VulnsNotes
anthropic 未指定 pip No 可选依赖,用于Claude API调用
openai 未指定 pip No 可选依赖,用于OpenAI API调用

Security Positives

✓ 无shell命令执行、无subprocess调用
✓ 无凭证收割行为(不遍历os.environ匹配敏感关键字)
✓ 无外部数据传输或C2通信
✓ 无代码混淆或base64解码执行
✓ LLM API调用是标准的SDK用法,使用环境变量存储密钥
✓ mock模式提供零API成本的测试路径
✓ 代码结构清晰,评分逻辑可解释