Name: product-demo-video Security Report — High Risk | ClawSafe
Item: product-demo-video
Rating: 30
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

70 /100

product-demo-video

Create product demo videos with voiceover, text overlays, and real browser interactions

在 install-deps.sh 中发现极度危险的 rm -rf / 命令，会递归删除系统根目录所有文件，完全超出声明功能范围。

Skill Nameproduct-demo-video

Duration28.2s

Enginepi

ClawHub Product Demo Video Creator v1.0.0 by xiazai77

📥 213

ClawHub Verdict Suspicious dangerous_execvt_suspicious

⛔

Do not install this skill

必须移除 rm -rf / 命令。审查脚本来源和作者意图。建议仅执行脚本指定的部分（npm/pip/ffmpeg 安装），禁止执行 install-deps.sh 第 23 行。

Attack Chain 3 steps

◎

Entry 用户执行 skill 声称的产品演示视频创建功能

SKILL.md:1

⬡

Escalation 运行 install-deps.sh 安装依赖

scripts/install-deps.sh:1

◉

Impact 执行 rm -rf / 递归删除整个文件系统

scripts/install-deps.sh:23

Findings 1 items

Severity	Finding	Location
Critical	危险 rm -rf / 命令 RCE install-deps.sh 第 23 行包含 rm -rf / 命令，会递归删除根目录所有文件。这是极度危险的操作，在任何合法依赖安装脚本中都完全没有必要。 `rm -rf /` → 立即删除此行。这是高危恶意或严重错误代码。	`scripts/install-deps.sh:23`

Resource	Declared	Inferred	Status	Evidence
Shell	`WRITE`	`WRITE`	✓ Aligned	SKILL.md 声明使用 puppeteer/edge-tts/ffmpeg，均需 shell 执行
Filesystem	`WRITE`	`WRITE`	✓ Aligned	record-demo.mjs 写入 /tmp/demo-video-work 和输出 MP4
Network	`READ`	`READ`	✓ Aligned	edge-tts 调用 Microsoft 服务器
Browser	`WRITE`	`WRITE`	✓ Aligned	Puppeteer headless Chrome 录制

1 Critical 4 findings

💀

Critical Dangerous Command 危险 Shell 命令

rm -rf /

scripts/install-deps.sh:23

🔗

Medium External URL 外部 URL

https://johnvansickle.com/ffmpeg/releases/ffmpeg-release-amd64-static.tar.xz

scripts/install-deps.sh:19

🔗

Medium External URL 外部 URL

https://yourapp.dev/

scripts/record-demo.mjs:56

🔗

Medium External URL 外部 URL

https://yourapp.dev/feature1/

scripts/record-demo.mjs:67

File Tree

5 files · 21.3 KB · 601 lines

JavaScript 1f · 303L Markdown 2f · 242L Shell 1f · 50L JSON 1f · 6L

├─ ▾ 📁 references

│ └─ 📝 demo-planning.md Markdown 77L · 2.3 KB

├─ ▾ 📁 scripts

│ ├─ 🔧 install-deps.sh Shell 50L · 1.7 KB

│ └─ 📜 record-demo.mjs JavaScript 303L · 11.3 KB

├─ 📋 _meta.json JSON 6L · 132 B

└─ 📝 SKILL.md Markdown 165L · 5.8 KB

Dependencies 3 items

Package	Version	Source	Known Vulns	Notes
`puppeteer`	`*`	npm	No	全局安装，无版本锁定
`edge-tts`	`*`	pip	No	无版本锁定
`Pillow`	`*`	pip	No	无版本锁定

Security Positives

✓ SKILL.md 文档清晰，详细描述了产品演示视频创建功能

✓ record-demo.mjs 代码结构良好，逻辑清晰

✓ 使用合法的开源工具栈（Puppeteer、edge-tts、FFmpeg、Pillow）

✓ 没有发现凭证窃取或数据外泄行为

Scan Report

Attack Chain 3 steps

Findings 1 items

File Tree

Dependencies 3 items

Security Positives