data-annotation 安全扫描报告 — 可信 | ClawSafe

5 /100

data-annotation

通用数据标注处理工具，支持图像、视频、文本等多种数据类型标注

合法的数据标注工具，代码实现与 SKILL.md 文档完全一致，无隐藏功能、无凭证收集、无数据外泄风险。

技能名称data-annotation

分析耗时58.3s

引擎pi

✓

可以安装

该 skill 可安全使用。API 服务绑定本地 127.0.0.1，有路径安全检查，无敏感路径访问。

安全发现 1 项

严重性	安全发现	位置
低危	网络权限未在SKILL.md中显式声明文档欺骗 SKILL.md提到调用外部模型API但未声明network权限，这是合理的工具用途，不构成欺骗 `curl -s https://coding.dashscope.aliyuncs.com/v1/chat/completions` → 可选：在SKILL.md声明network权限以提高透明度	`SKILL.md:132`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`READ`	✓ 一致	SKILL.md:需要读取用户数据目录
网络访问	`NONE`	`READ`	✓ 一致	SKILL.md:132 调用外部模型API dashscope.aliyuncs.com
命令执行	`NONE`	`READ`	✓ 一致	SKILL.md:执行pip/ffmpeg/find等工具命令
环境变量	`NONE`	`NONE`	—	无环境变量遍历行为
浏览器	`NONE`	`READ`	✓ 一致	生成Web界面供用户查看标注数据
剪贴板	`NONE`	`NONE`	—	无剪贴板操作

3 项发现

🔗

中危外部 URL 外部 URL

https://coding.dashscope.aliyuncs.com/v1/chat/completions

SKILL.md:132

🔗

中危外部 URL 外部 URL

http://127.0.0.1:8888/;

SKILL.md:234

🔗

中危外部 URL 外部 URL

http://127.0.0.1:

scripts/annotation-api.py:212

6 文件 · 37.3 KB · 963 行

Markdown 3f · 392L HTML 1f · 340L Python 1f · 222L JSON 1f · 9L

├─ ▾ 📁 references

│ └─ 📝 output-formats.md Markdown 68L · 2.6 KB

├─ ▾ 📁 scripts

│ └─ 🐍 annotation-api.py Python 222L · 7.8 KB

├─ ▾ 📁 templates

│ └─ 📄 annotation-viewer.html HTML 340L · 14.4 KB

├─ 📝 CHANGELOG.md Markdown 42L · 2.2 KB

├─ 📋 skill.json JSON 9L · 550 B

└─ 📝 SKILL.md Markdown 282L · 9.8 KB

✓ annotation-api.py 绑定 127.0.0.1:8888，不对外暴露

✓ 有文件路径安全检查 real_path.startswith(real_data)，防止目录遍历

✓ 不访问 ~/.ssh、~/.aws、.env 等敏感路径

✓ 不收集或外传凭证/API密钥

✓ 不包含混淆代码、base64执行、eval等危险模式

✓ HTML模板无恶意脚本，纯前端展示功能

✓ SKILL.md 文档详尽，覆盖完整工作流程