jean-claw-van-damme Security Report — Trusted | ClawSafe

5 /100

jean-claw-van-damme

Authorization gatekeeper for OpenClaw agents - scoped grants, time-bound permissions, skill scanning, prompt injection detection

Jean-Claw Van Damme 是一个合法的授权门卫安全技能，纯静态分析，无恶意行为，代码与文档一致。

Skill Namejean-claw-van-damme

Duration54.6s

Enginepi

✓

Safe to install

可直接安装使用。该技能作为安全工具本身无风险。

Findings 2 items

Severity	Finding	Location
Low	工具依赖声明不完整 Doc Mismatch SKILL.md描述为'markdown skill with no compiled code or external dependencies'，但scan-skill.sh依赖grep/正则，audit-export.sh依赖jq。这属于轻微的文档描述偏差，但不影响安全性。 `Jean-Claw is a pure markdown skill with no compiled code or external dependencies` → 更新SKILL.md说明脚本依赖的shell工具（grep、jq）或将脚本重命名为仅供参考的辅助文件	`SKILL.md:1`
Low	扫描模式可能产生误报 Supply Chain scan-skill.sh的credential patterns检测（API_KEY、SECRET、TOKEN等）可能匹配合法代码中的注释或变量名。这是安全扫描工具的常见权衡。 `CRED_PATTERNS=("API_KEY" "SECRET" "TOKEN" ...)` → 这是预期的扫描行为，安全工具的误报是可接受的	`scan-skill.sh:95`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md 声明读取本地文件
Network	`READ`	`READ`	✓ Aligned	SKILL.md 声明 Web searches
Shell	`NONE`	`NONE`	—	无shell执行，脚本仅做静态grep分析
Environment	`NONE`	`NONE`	—	audit-export.sh仅读取预定义路径的audit.json
Skill Invoke	`NONE`	`NONE`	—	无动态技能调用

2 findings

🔗

Medium External URL 外部 URL

https://agenticpoa.com

README.md:9

🔗

Medium External URL 外部 URL

https://snyk.io/blog/clawhub-malicious-google-skill-openclaw-malware/

README.md:13

5 files · 27.0 KB · 801 lines

Markdown 2f · 431L Shell 2f · 305L JSON 1f · 65L

├─ 🔧 audit-export.sh Shell 68L · 2.1 KB

├─ 📋 policy.json JSON 65L · 1.5 KB

├─ 📝 README.md Markdown 178L · 7.1 KB

├─ 🔧 scan-skill.sh Shell 237L · 6.3 KB

└─ 📝 SKILL.md Markdown 253L · 10.0 KB

Package	Version	Source	Known Vulns	Notes
`grep`	`系统内置`	shell	No	用于正则匹配，安全工具正常用法
`jq`	`可选`	shell	No	audit-export.sh需要，如不存在会降级处理

✓ 纯静态分析工具，无代码执行能力

✓ 无编译代码，无外部依赖

✓ 透明可审计：所有代码可读

✓ 无敏感文件访问（无~/.ssh、.env等路径）

✓ 无数据外泄：未发现向外部发送数据

✓ 无混淆代码：未发现base64执行、eval调用

✓ 功能与安全目标一致

✓ 设计良好的三层权限分类