中文 EN

Scan Report

Scan New Files

Suspicious — Risk Score 45/100
Last scan:8 hr ago Rescan
45 /100
computer-use-skill
Remote Browser automation via CUA (Computer Use Agent)
空壳技能:SKILL.md 描述了完整的浏览器自动化架构,但实际只有文档无任何代码文件,存在文档欺骗风险
Skill Namecomputer-use-skill
Duration28.8s
Enginepi
Use with caution
不应使用此技能。缺少实际代码文件,无法验证声称的浏览器自动化功能是否安全实现

Findings 3 items

Severity Finding Location
High
文档描述的代码结构不存在 Doc Mismatch
SKILL.md 明确描述了 workspace/tools/execute_cua_task.py 和 cua_venv/ 等完整文件结构,但实际文件中不存在任何 Python 代码或脚本文件
workspace/
├── tools/
│   └── execute_cua_task.py      # Task execution script
└── cua_venv/                    # Virtual environment with SDK
→ 要求提供实际的代码文件或从市场下架此技能
 SKILL.md:24
Medium
声称无外部凭证但描述密码输入功能 Doc Mismatch
文档声称 'No external credentials handled by user',但 Quick Reference 示例包含 '在登录页面输入用户名和密码',存在矛盾
Forms** | `"在登录页面输入用户名和密码"`
→ 澄清凭证处理机制
 SKILL.md:36
Medium
缺少依赖管理文件 Supply Chain
文档声称使用 Python SDK 和虚拟环境,但无 requirements.txt 或任何依赖声明,无法验证第三方库安全性
CUA SDK**: Official Python SDK for browser automation
→ 提供 requirements.txt 或 pyproject.toml
 SKILL.md:16
ResourceDeclaredInferredStatusEvidence
Filesystem NONE NONE 无代码文件,无法验证
Network NONE NONE 无代码文件,无法验证
Shell NONE NONE 无代码文件,无法验证
Browser WRITE NONE ✓ Aligned SKILL.md 声称 browser automation 功能但无实现代码
Skill Invoke NONE NONE 无代码文件,无法验证
1 findings
🔗
Medium External URL 外部 URL
https://clawhub.ai
.clawhub/origin.json:3

File Tree

3 files · 2.4 KB · 86 lines
Markdown 1f · 74L JSON 2f · 12L
├─ 📁 .clawhub
│ └─ 📋 origin.json JSON 7L · 150 B
├─ 📋 _meta.json JSON 5L · 137 B
└─ 📝 SKILL.md Markdown 74L · 2.2 KB

Security Positives

✓ 无代码意味着无法执行实际恶意行为
✓ 文档明确说明 'pass-through mode' 不修改任务
✓ 声称的任务传输模式降低了主动攻击风险