中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 15/100
Last scan:4 hr ago Rescan
15 /100
Enterprise Security
企业级安全套件 - 高危操作确认、自动备份、回滚机制、技能安检
企业级安全套件核心功能正常,activate.js 中 execSync 操作虽未在 SKILL.md 中声明,但属于部署工具合法需要且无恶意意图。
Skill NameEnterprise Security
Duration35.7s
Enginepi
ClawHub enterprise-security-suite v1.0.1 by gk752448784
📥 225 📦 2
ClawHub Verdict Suspicious dangerous_execllm_suspicious
Safe to install
建议补充 activate.js 中 docker exec 操作的说明文档,移除硬编码的数据库凭证使用环境变量替代。

Findings 2 items

Severity Finding Location
Low
activate.js shell 操作未在文档声明 Doc Mismatch
激活脚本使用 execSync 执行 docker 命令写入 PostgreSQL 记忆,但 SKILL.md 未说明此操作
execSync(`docker exec -i pgmemory psql -U openclaw -d openclaw -c "${sql}"`)
→ 在 SKILL.md 安装步骤中补充说明激活脚本会执行 docker 命令
 activate.js:49
Low
硬编码数据库凭证 Credential Theft
activate.js 包含硬编码的 PostgreSQL 连接凭证 postgresql://openclaw:pgmemory@localhost:15432
const dbUri = 'postgresql://openclaw:pgmemory@localhost:15432/openclaw';
→ 使用环境变量 OPENCLAW_DB_URI 替代硬编码凭证
 activate.js:45
ResourceDeclaredInferredStatusEvidence
Filesystem WRITE WRITE ✓ Aligned modules/backup.js:copyFileSync 用于备份
Shell NONE WRITE ✗ Violation activate.js:49 execSync docker exec
Environment NONE READ ✓ Aligned modules/confirm.js:25 读取 OPENCLAW_WORKSPACE
Database NONE WRITE ✓ Aligned activate.js:51-52 写入 PostgreSQL

File Tree

8 files · 18.9 KB · 768 lines
JavaScript 7f · 528L Markdown 1f · 240L
├─ 📁 modules
│ ├─ 📜 backup.js JavaScript 65L · 1.7 KB
│ ├─ 📜 changelog.js JavaScript 45L · 1.2 KB
│ ├─ 📜 confirm.js JavaScript 60L · 1.6 KB
│ ├─ 📜 rollback.js JavaScript 89L · 2.1 KB
│ └─ 📜 security-check.js JavaScript 158L · 4.2 KB
├─ 📜 activate.js JavaScript 75L · 2.9 KB
├─ 📜 index.js JavaScript 36L · 933 B
└─ 📝 SKILL.md Markdown 240L · 4.3 KB

Security Positives

✓ 核心功能(备份、回滚、安检)代码质量良好,逻辑清晰
✓ security-check.js 实现了完整的风险评估逻辑
✓ backup.js 支持多种文件类型的备份命名规范
✓ 无外部网络请求,无数据外传
✓ 无 base64 编码、eval、动态代码执行等高危操作
✓ 无访问 ~/.ssh、~/.aws、.env 等敏感路径
✓ activate.js 中的 docker exec 是部署工具合法操作