claw-shell 安全扫描报告 — 低风险 | ClawSafe

20 /100

claw-shell

在tmux会话中执行shell命令的工具

claw-shell 是一个相对安全的 tmux 会话管理工具，核心功能与文档一致，危险命令检查机制虽有漏洞但不构成严重威胁。

技能名称claw-shell

分析耗时44.0s

引擎pi

✓

可以安装

可安全使用，但建议用户仅在可信环境中运行。危险命令检查逻辑可进一步增强。

安全发现 2 项

严重性	安全发现	位置
低危	危险命令黑名单检查逻辑不完整权限提升 isDangerous() 函数的黑名单覆盖不全。检查 ' rm '（中间有空格）但不检查行首的 rm；检查 'chmod -R' 但未在代码中实现拦截。攻击者可通过微妙方式绕过检查。 `const bad = ['sudo', ' rm ', ' rm-', 'reboot', 'shutdown', 'mkfs', 'dd '];` → 使用更严格的正则表达式或命令白名单机制替代简单的字符串包含检查	`handler.js:23`
低危	shell特殊字符未完全过滤代码执行 escaped变量仅转义双引号，未对反引号`、$()、\等shell特殊字符进行处理，可能存在命令注入风险。 `const escaped = cmd.replace(/"/g, '\\"');` → 对所有shell元字符进行转义或验证输入	`handler.js:14`

资源类型	声明权限	推断权限	状态	证据
命令执行	`WRITE`	`WRITE`	✓ 一致	handler.js:7 execSync调用

1 项发现

🔗

中危外部 URL 外部 URL

https://x.com/...

SKILL.md:39

3 文件 · 2.4 KB · 106 行

JavaScript 1f · 57L Markdown 1f · 44L JSON 1f · 5L

├─ 📋 _meta.json JSON 5L · 129 B

├─ 📜 handler.js JavaScript 57L · 1.4 KB

└─ 📝 SKILL.md Markdown 44L · 928 B

包名	版本	来源	已知漏洞	备注
`node:child_process`	`built-in`	Node.js标准库	否	使用Node.js内置模块，无外部依赖

✓ 文档结构清晰，声明与实现基本一致

✓ 实现了危险命令检查机制

✓ 强制使用固定tmux session名称（claw），不会影响其他会话

✓ 代码简洁，逻辑透明，易于审计

✓ 无网络请求、无凭证访问、无数据外泄行为