opus-certification Security Report — Low Risk | ClawSafe

15 /100

opus-certification

Opus 4.6 Quality Certification program for ClawHub skills

ClawHub技能认证工具，代码本身无恶意行为，但存在声明功能未实现和轻微权限过申问题。

Skill Nameopus-certification

Duration31.8s

Enginepi

✓

Safe to install

建议完善代码实现或调整文档以匹配实际功能。无需阻止使用。

Findings 2 items

Severity	Finding	Location
Low	声明功能未实现 Doc Mismatch SKILL.md 声称提供'代码分析：扫描安全漏洞'、'安全扫描'等功能，但 index.js 中 auditSkill() 仅模拟随机输出，无实际代码分析或安全扫描逻辑。 `const passed = Math.random() > 0.3;` → 要么实现真正的安全扫描功能，要么修改 SKILL.md 移除未实现的功能声明	`index.js:125`
Info	未使用的权限声明 Priv Escalation 代码导入了 child_process.execSync (shell:WRITE 能力)，但整个代码库中没有任何 execSync 调用，属于过度声明权限。 `const { execSync } = require('child_process');` → 移除未使用的 execSync 导入，或如果计划添加 shell 命令执行功能，需在 SKILL.md 中声明	`index.js:6`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`NONE`	—	index.js:5 仅导入模块，未执行文件操作
Network	`NONE`	`NONE`	—	index.js 无 fetch/axios/http 请求，无数据外泄
Shell	`READ (隐式)`	`NONE`	✗ Violation	index.js:6 导入 execSync 但代码中无任何 execSync 调用
Environment	`NONE`	`NONE`	—	代码无 os.environ 或 process.env 访问
Skill Invoke	`NONE`	`NONE`	—	无嵌套技能调用
Clipboard	`NONE`	`NONE`	—	无剪贴板访问
Browser	`NONE`	`NONE`	—	无浏览器自动化
Database	`NONE`	`NONE`	—	无数据库操作

2 findings

🔗

Medium External URL 外部 URL

https://clawhub.com/certification

SKILL.md:168

📧

Info Email 邮箱地址

[email protected]

README.md:73

4 files · 18.8 KB · 625 lines

JavaScript 1f · 323L Markdown 2f · 259L JSON 1f · 43L

├─ 📜 index.js JavaScript 323L · 9.8 KB

├─ 📋 package.json JSON 43L · 1.1 KB

├─ 📝 README.md Markdown 88L · 3.1 KB

└─ 📝 SKILL.md Markdown 171L · 4.7 KB

Package	Version	Source	Known Vulns	Notes
`无外部依赖`	`N/A`	npm	No	dependencies: {} 为空，仅使用 Node.js 内置模块

✓ 无网络请求，无数据外泄风险

✓ 无凭证收割、环境变量遍历等敏感操作

✓ 无文件写入操作，不存在文件系统破坏风险

✓ 无外部依赖 (dependencies: {})，供应链风险极低

✓ 无 base64、eval、动态代码执行等混淆技术

✓ 无硬编码的外部 IP 或可疑 URL

✓ 代码结构清晰，模块化设计良好