data-annotation Security Report — Trusted | ClawSafe

5 /100

data-annotation

通用数据标注处理工具，支持图像、视频、文本等多种数据类型标注

合法的数据标注工具，代码实现与 SKILL.md 文档完全一致，无隐藏功能、无凭证收集、无数据外泄风险。

Skill Namedata-annotation

Duration58.3s

Enginepi

✓

Safe to install

该 skill 可安全使用。API 服务绑定本地 127.0.0.1，有路径安全检查，无敏感路径访问。

Findings 1 items

Severity	Finding	Location
Low	网络权限未在SKILL.md中显式声明 Doc Mismatch SKILL.md提到调用外部模型API但未声明network权限，这是合理的工具用途，不构成欺骗 `curl -s https://coding.dashscope.aliyuncs.com/v1/chat/completions` → 可选：在SKILL.md声明network权限以提高透明度	`SKILL.md:132`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`READ`	✓ Aligned	SKILL.md:需要读取用户数据目录
Network	`NONE`	`READ`	✓ Aligned	SKILL.md:132 调用外部模型API dashscope.aliyuncs.com
Shell	`NONE`	`READ`	✓ Aligned	SKILL.md:执行pip/ffmpeg/find等工具命令
Environment	`NONE`	`NONE`	—	无环境变量遍历行为
Browser	`NONE`	`READ`	✓ Aligned	生成Web界面供用户查看标注数据
Clipboard	`NONE`	`NONE`	—	无剪贴板操作

3 findings

🔗

Medium External URL 外部 URL

https://coding.dashscope.aliyuncs.com/v1/chat/completions

SKILL.md:132

🔗

Medium External URL 外部 URL

http://127.0.0.1:8888/;

SKILL.md:234

🔗

Medium External URL 外部 URL

http://127.0.0.1:

scripts/annotation-api.py:212

File Tree

6 files · 37.3 KB · 963 lines

Markdown 3f · 392L HTML 1f · 340L Python 1f · 222L JSON 1f · 9L

├─ ▾ 📁 references

│ └─ 📝 output-formats.md Markdown 68L · 2.6 KB

├─ ▾ 📁 scripts

│ └─ 🐍 annotation-api.py Python 222L · 7.8 KB

├─ ▾ 📁 templates

│ └─ 📄 annotation-viewer.html HTML 340L · 14.4 KB

├─ 📝 CHANGELOG.md Markdown 42L · 2.2 KB

├─ 📋 skill.json JSON 9L · 550 B

└─ 📝 SKILL.md Markdown 282L · 9.8 KB

Security Positives

✓ annotation-api.py 绑定 127.0.0.1:8888，不对外暴露

✓ 有文件路径安全检查 real_path.startswith(real_data)，防止目录遍历

✓ 不访问 ~/.ssh、~/.aws、.env 等敏感路径

✓ 不收集或外传凭证/API密钥

✓ 不包含混淆代码、base64执行、eval等危险模式

✓ HTML模板无恶意脚本，纯前端展示功能

✓ SKILL.md 文档详尽，覆盖完整工作流程

Scan Report

Findings 1 items

File Tree

Security Positives