中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 5/100
Last scan:4 hr ago Rescan
5 /100
reviewer-rebuttal-coach
从剪贴板读取审稿意见、导师批注或评审反馈,生成逐条回复、修改计划与优先级建议
功能极简的剪贴板读取工具,仅将 pbpaste 输出原样打印,声明与行为完全一致,无任何恶意行为。
Skill Namereviewer-rebuttal-coach
Duration24.7s
Enginepi
ClawHub reviewer-rebuttal-coach v1.0.0 by 52yuanchangxing
📥 200
ClawHub Verdict Suspicious dangerous_exec
Safe to install
该 skill 可安全使用,无需额外限制。

Findings 1 items

Severity Finding Location
Info
execSync 形式的技术性绕过 Doc Mismatch
代码使用 Node.js child_process.execSync 而非 Bash,但效果相同——执行本地命令 pbpaste。SKILL.md 的 allowed-tools 声明为 Bash,实际通过 Node.js 绕过。
return execSync("pbpaste", { encoding: "utf8" }).trim();
→ 功能无恶意,但建议在 SKILL.md metadata 中明确声明使用 Node.js execSync
 scripts/read_clipboard.mjs:4
ResourceDeclaredInferredStatusEvidence
Clipboard READ READ ✓ Aligned scripts/read_clipboard.mjs:6 代码仅读取剪贴板
Shell NONE WRITE ✓ Aligned scripts/read_clipboard.mjs:4 使用 execSync 执行 pbpaste,但仅限于单命令无参数

File Tree

4 files · 2.0 KB · 90 lines
Markdown 3f · 71L JavaScript 1f · 19L
├─ 📁 scripts
│ └─ 📜 read_clipboard.mjs JavaScript 19L · 445 B
├─ 📝 CHANGELOG.md Markdown 6L · 157 B
├─ 📝 README.md Markdown 26L · 483 B
└─ 📝 SKILL.md Markdown 39L · 980 B

Security Positives

✓ 声明功能与实际行为完全一致
✓ 无网络通信
✓ 无凭证访问
✓ 无文件写入
✓ 无数据外传
✓ 代码逻辑极简(19行),可读性强
✓ 无第三方依赖(仅使用 Node.js 内置模块)
✓ 输出格式清晰便于解析