clawhub-security-scan Security Report — Trusted | ClawSafe

5 /100

clawhub-security-scan

Pre-publish security scan for ClawHub skills

ClawHub 安全扫描工具，核心功能为静态代码分析检测可疑模式，预扫描发现的硬编码字符串 'secretkeyhere123' 是教学示例而非真实凭证，代码无恶意行为。

Skill Nameclawhub-security-scan

Duration27.4s

Enginepi

✓

Safe to install

该技能安全，可正常使用。建议在 SKILL.md 中补充 filesystem:READ 权限声明以提高透明度。

Findings 2 items

Severity	Finding	Location
Info	硬编码字符串 'secretkeyhere123' 是教学示例预扫描在 scripts/review.py:24 发现疑似硬编码凭证。经验证，该字符串出现在安全最佳实践文档示例中，用于说明'不要这样做'，非真实凭证。 NOT: `api_key = "secretkeyhere123"` ✗ → 无需修复，这是故意的教学示例	`scripts/review.py:24`
Low	权限声明不完整工具需要读取文件进行静态代码分析，但 SKILL.md 未声明 filesystem:READ 权限 `文档未声明需要文件系统读取权限` → 建议在 SKILL.md 添加 'Required Permissions: filesystem:READ (用于代码扫描)'	`SKILL.md:1`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`READ`	✓ Aligned	scripts/scan.py:144 - scan_directory() 读取文件进行静态分析
Network	`READ`	`READ`	✓ Aligned	SKILL.md 定价部分声明调用 skillpay.me API
Shell	`NONE`	`NONE`	—	代码无 shell 执行调用

1 High 2 findings

🔑

High API Key 疑似硬编码凭证

api_key = "secretkeyhere123"

scripts/review.py:24

🔗

Medium External URL 外部 URL

https://skillpay.me/api/v1

scripts/precheck.py:24

5 files · 32.4 KB · 851 lines

Python 3f · 769L Markdown 1f · 73L JSON 1f · 9L

├─ ▾ 📁 scripts

│ ├─ 🐍 precheck.py Python 196L · 6.9 KB

│ ├─ 🐍 review.py Python 101L · 3.8 KB

│ └─ 🐍 scan.py Python 472L · 18.7 KB

├─ 📋 _meta.json JSON 9L · 290 B

└─ 📝 SKILL.md Markdown 73L · 2.7 KB

✓ 无 shell 命令执行能力

✓ 无凭证收割行为

✓ 无远程代码执行

✓ 无访问 ~/.ssh、/etc/passwd 等敏感路径

✓ 外部 API 调用已在定价部分声明

✓ 代码结构清晰，注释完善

✓ 工具本身用于检测安全问题，逻辑自洽