kiro 安全扫描报告 — 可信 | ClawSafe

5 /100

kiro

Kiro agentic IDE 开发工作流指南。使用 spec 驱动开发、hooks 自动化、steering 规则、MCP 集成和 powers 扩展。

Kiro development workflow skill containing only documentation and a benign file-creation utility script with no malicious indicators.

技能名称kiro

分析耗时27.1s

引擎pi

✓

可以安装

This skill is safe to use. No security concerns identified.

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	SKILL.md:scripts/create-spec.py creates files in user-specified paths
网络访问	`NONE`	`NONE`	—	No network calls in code
命令执行	`NONE`	`NONE`	—	create-spec.py uses only stdlib os/sys/argparse
环境变量	`NONE`	`NONE`	—	No environment variable access
技能调用	`NONE`	`NONE`	—	No cross-skill invocation
剪贴板	`NONE`	`NONE`	—	No clipboard access
浏览器	`NONE`	`NONE`	—	No browser automation
数据库	`NONE`	`NONE`	—	No database access

6 项发现

🔗

中危外部 URL 外部 URL

https://kiro.dev

SKILL.md:24

🔗

中危外部 URL 外部 URL

https://kiro.dev/docs/

SKILL.md:192

🔗

中危外部 URL 外部 URL

https://kiro.dev/docs/cli

SKILL.md:193

🔗

中危外部 URL 外部 URL

https://kiro.dev/docs/getting-started/first-project/

SKILL.md:194

🔗

中危外部 URL 外部 URL

https://discord.gg/kirodotdev

SKILL.md:197

📧

提示邮箱邮箱地址

[email protected]

assets/steering-templates/project-rules.md:102

目录结构

7 文件 · 25.3 KB · 1324 行

Markdown 5f · 1143L Python 1f · 176L JSON 1f · 5L

├─ ▾ 📁 assets

│ └─ ▾ 📁 steering-templates

│ └─ 📝 project-rules.md Markdown 225L · 4.3 KB

├─ ▾ 📁 references

│ ├─ 📝 hooks-reference.md Markdown 287L · 4.6 KB

│ ├─ 📝 mcp-servers.md Markdown 281L · 4.4 KB

│ └─ 📝 spec-template.md Markdown 138L · 2.5 KB

├─ ▾ 📁 scripts

│ └─ 🐍 create-spec.py Python 176L · 3.8 KB

├─ 📋 _meta.json JSON 5L · 123 B

└─ 📝 SKILL.md Markdown 212L · 5.6 KB

安全亮点

✓ Python script uses only standard library (os, sys, argparse, datetime)

✓ No subprocess or shell execution

✓ No network requests or data exfiltration

✓ No credential harvesting or sensitive path access

✓ File operations restricted to user-specified output directory

✓ Reference documentation is static and non-executable

✓ MCP server examples use standard patterns with environment variable placeholders

✓ No base64, eval(), or obfuscated code patterns

✓ No hidden functionality or disguised behavior