project-bootstrap Security Report — Trusted | ClawSafe

5 /100

project-bootstrap

Bootstrap a multi-agent software project from idea to running CI/CD

Project Bootstrap 技能是一个合法的多代理项目初始化工具，taskboard.py 实现了标准的任务看板 CLI，GitHub token 仅用于 GitHub API 认证，无恶意行为。

Skill Nameproject-bootstrap

Duration31.3s

Enginepi

✓

Safe to install

技能安全可用。建议完善 SKILL.md 中的权限声明以提高透明度。

Findings 1 items

Severity	Finding	Location
Low	权限声明不完整 Doc Mismatch SKILL.md 声称使用 CLI 工具操作，但未明确声明需要 filesystem:WRITE（JSON文件读写）和 network:READ（GitHub API访问）权限。建议完善声明以提高透明度。 `全程无权限声明` → 在 SKILL.md 顶部添加 allowed_tools 声明或权限矩阵	`SKILL.md:1`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`WRITE`	✓ Aligned	scripts/taskboard.py:63-64 读写 JSON 文件用于任务数据持久化
Network	`NONE`	`READ`	✓ Aligned	scripts/taskboard.py:102 仅访问 api.github.com 用于 GitHub Issues 同步
Environment	`NONE`	`READ`	✓ Aligned	scripts/taskboard.py:72 仅读取 GITHUB_TOKEN 用于 GitHub API 认证
Shell	`NONE`	`NONE`	—	无 shell 执行

1 findings

🔗

Medium External URL 外部 URL

https://discord.com/api/webhooks/

references/ci-cd-templates.md:127

4 files · 31.1 KB · 988 lines

Markdown 3f · 497L Python 1f · 491L

├─ ▾ 📁 references

│ ├─ 📝 ci-cd-templates.md Markdown 175L · 4.3 KB

│ └─ 📝 taskboard-setup.md Markdown 141L · 3.4 KB

├─ ▾ 📁 scripts

│ └─ 🐍 taskboard.py Python 491L · 18.1 KB

└─ 📝 SKILL.md Markdown 181L · 5.2 KB

✓ 无凭证收割行为 - GITHUB_TOKEN 仅用于 GitHub API 认证，不外传

✓ 无远程代码执行 - 无 subprocess、eval、exec 调用

✓ 无数据外泄 - 所有网络请求均为 GitHub API 调用

✓ 无代码混淆 - 纯 Python 实现，代码清晰可读

✓ 无持久化后门 - 不修改 crontab、systemd 等系统配置

✓ GitHub token 读取方式安全 - 使用环境变量而非硬编码