claw-shell Security Report — Low Risk | ClawSafe

20 /100

claw-shell

在tmux会话中执行shell命令的工具

claw-shell 是一个相对安全的 tmux 会话管理工具，核心功能与文档一致，危险命令检查机制虽有漏洞但不构成严重威胁。

Skill Nameclaw-shell

Duration44.0s

Enginepi

✓

Safe to install

可安全使用，但建议用户仅在可信环境中运行。危险命令检查逻辑可进一步增强。

Findings 2 items

Severity	Finding	Location
Low	危险命令黑名单检查逻辑不完整 Priv Escalation isDangerous() 函数的黑名单覆盖不全。检查 ' rm '（中间有空格）但不检查行首的 rm；检查 'chmod -R' 但未在代码中实现拦截。攻击者可通过微妙方式绕过检查。 `const bad = ['sudo', ' rm ', ' rm-', 'reboot', 'shutdown', 'mkfs', 'dd '];` → 使用更严格的正则表达式或命令白名单机制替代简单的字符串包含检查	`handler.js:23`
Low	shell特殊字符未完全过滤 RCE escaped变量仅转义双引号，未对反引号`、$()、\等shell特殊字符进行处理，可能存在命令注入风险。 `const escaped = cmd.replace(/"/g, '\\"');` → 对所有shell元字符进行转义或验证输入	`handler.js:14`

Resource	Declared	Inferred	Status	Evidence
Shell	`WRITE`	`WRITE`	✓ Aligned	handler.js:7 execSync调用

1 findings

🔗

Medium External URL 外部 URL

https://x.com/...

SKILL.md:39

3 files · 2.4 KB · 106 lines

JavaScript 1f · 57L Markdown 1f · 44L JSON 1f · 5L

├─ 📋 _meta.json JSON 5L · 129 B

├─ 📜 handler.js JavaScript 57L · 1.4 KB

└─ 📝 SKILL.md Markdown 44L · 928 B

Package	Version	Source	Known Vulns	Notes
`node:child_process`	`built-in`	Node.js标准库	No	使用Node.js内置模块，无外部依赖

✓ 文档结构清晰，声明与实现基本一致

✓ 实现了危险命令检查机制

✓ 强制使用固定tmux session名称（claw），不会影响其他会话

✓ 代码简洁，逻辑透明，易于审计

✓ 无网络请求、无凭证访问、无数据外泄行为