clawhub-security-scan 安全扫描报告 — 可信 | ClawSafe

5 /100

clawhub-security-scan

Pre-publish security scan for ClawHub skills

ClawHub 安全扫描工具，核心功能为静态代码分析检测可疑模式，预扫描发现的硬编码字符串 'secretkeyhere123' 是教学示例而非真实凭证，代码无恶意行为。

技能名称clawhub-security-scan

分析耗时27.4s

引擎pi

✓

可以安装

该技能安全，可正常使用。建议在 SKILL.md 中补充 filesystem:READ 权限声明以提高透明度。

安全发现 2 项

严重性	安全发现	位置
提示	硬编码字符串 'secretkeyhere123' 是教学示例预扫描在 scripts/review.py:24 发现疑似硬编码凭证。经验证，该字符串出现在安全最佳实践文档示例中，用于说明'不要这样做'，非真实凭证。 NOT: `api_key = "secretkeyhere123"` ✗ → 无需修复，这是故意的教学示例	`scripts/review.py:24`
低危	权限声明不完整工具需要读取文件进行静态代码分析，但 SKILL.md 未声明 filesystem:READ 权限 `文档未声明需要文件系统读取权限` → 建议在 SKILL.md 添加 'Required Permissions: filesystem:READ (用于代码扫描)'	`SKILL.md:1`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`READ`	✓ 一致	scripts/scan.py:144 - scan_directory() 读取文件进行静态分析
网络访问	`READ`	`READ`	✓ 一致	SKILL.md 定价部分声明调用 skillpay.me API
命令执行	`NONE`	`NONE`	—	代码无 shell 执行调用

1 高危 2 项发现

🔑

高危 API 密钥疑似硬编码凭证

api_key = "secretkeyhere123"

scripts/review.py:24

🔗

中危外部 URL 外部 URL

https://skillpay.me/api/v1

scripts/precheck.py:24

5 文件 · 32.4 KB · 851 行

Python 3f · 769L Markdown 1f · 73L JSON 1f · 9L

├─ ▾ 📁 scripts

│ ├─ 🐍 precheck.py Python 196L · 6.9 KB

│ ├─ 🐍 review.py Python 101L · 3.8 KB

│ └─ 🐍 scan.py Python 472L · 18.7 KB

├─ 📋 _meta.json JSON 9L · 290 B

└─ 📝 SKILL.md Markdown 73L · 2.7 KB

✓ 无 shell 命令执行能力

✓ 无凭证收割行为

✓ 无远程代码执行

✓ 无访问 ~/.ssh、/etc/passwd 等敏感路径

✓ 外部 API 调用已在定价部分声明

✓ 代码结构清晰，注释完善

✓ 工具本身用于检测安全问题，逻辑自洽