中文 EN

扫描报告

扫描新文件

高风险 — 风险评分 70/100
上次扫描:4 小时前 重新扫描
70 /100
product-demo-video
Create product demo videos with voiceover, text overlays, and real browser interactions
在 install-deps.sh 中发现极度危险的 rm -rf / 命令,会递归删除系统根目录所有文件,完全超出声明功能范围。
技能名称product-demo-video
分析耗时28.2s
引擎pi
ClawHub Product Demo Video Creator v1.0.0 by xiazai77
📥 213
ClawHub 判定 可疑 dangerous_execvt_suspicious
不要安装此技能
必须移除 rm -rf / 命令。审查脚本来源和作者意图。建议仅执行脚本指定的部分(npm/pip/ffmpeg 安装),禁止执行 install-deps.sh 第 23 行。

攻击链 3 步

入口 用户执行 skill 声称的产品演示视频创建功能
SKILL.md:1
提权 运行 install-deps.sh 安装依赖
scripts/install-deps.sh:1
影响 执行 rm -rf / 递归删除整个文件系统
scripts/install-deps.sh:23

安全发现 1 项

严重性 安全发现 位置
严重
危险 rm -rf / 命令 代码执行
install-deps.sh 第 23 行包含 rm -rf / 命令,会递归删除根目录所有文件。这是极度危险的操作,在任何合法依赖安装脚本中都完全没有必要。
rm -rf /
→ 立即删除此行。这是高危恶意或严重错误代码。
 scripts/install-deps.sh:23
资源类型声明权限推断权限状态证据
命令执行 WRITE WRITE ✓ 一致 SKILL.md 声明使用 puppeteer/edge-tts/ffmpeg,均需 shell 执行
文件系统 WRITE WRITE ✓ 一致 record-demo.mjs 写入 /tmp/demo-video-work 和输出 MP4
网络访问 READ READ ✓ 一致 edge-tts 调用 Microsoft 服务器
浏览器 WRITE WRITE ✓ 一致 Puppeteer headless Chrome 录制
1 严重 4 项发现
💀
严重 危险命令 危险 Shell 命令
rm -rf /
scripts/install-deps.sh:23
🔗
中危 外部 URL 外部 URL
https://johnvansickle.com/ffmpeg/releases/ffmpeg-release-amd64-static.tar.xz
scripts/install-deps.sh:19
🔗
中危 外部 URL 外部 URL
https://yourapp.dev/
scripts/record-demo.mjs:56
🔗
中危 外部 URL 外部 URL
https://yourapp.dev/feature1/
scripts/record-demo.mjs:67

目录结构

5 文件 · 21.3 KB · 601 行
JavaScript 1f · 303L Markdown 2f · 242L Shell 1f · 50L JSON 1f · 6L
├─ 📁 references
│ └─ 📝 demo-planning.md Markdown 77L · 2.3 KB
├─ 📁 scripts
│ ├─ 🔧 install-deps.sh Shell 50L · 1.7 KB
│ └─ 📜 record-demo.mjs JavaScript 303L · 11.3 KB
├─ 📋 _meta.json JSON 6L · 132 B
└─ 📝 SKILL.md Markdown 165L · 5.8 KB

依赖分析 3 项

包名版本来源已知漏洞备注
puppeteer * npm 全局安装,无版本锁定
edge-tts * pip 无版本锁定
Pillow * pip 无版本锁定

安全亮点

✓ SKILL.md 文档清晰,详细描述了产品演示视频创建功能
✓ record-demo.mjs 代码结构良好,逻辑清晰
✓ 使用合法的开源工具栈(Puppeteer、edge-tts、FFmpeg、Pillow)
✓ 没有发现凭证窃取或数据外泄行为