clawscan-vigil Security Report — Trusted | ClawSafe

5 /100

clawscan-vigil

OpenClaw Skill 安全扫描器，静态+动态双重检测

ClawScan 是一个合法的 OpenClaw Skill 安全扫描工具，采用静态 AST 分析 + RestrictedPython 动态沙箱技术检测恶意代码。代码结构清晰，无恶意行为发现，仅存在依赖声明宽泛的轻微瑕疵。

Skill Nameclawscan-vigil

Duration41.1s

Enginepi

✓

Safe to install

可安全安装使用。无需额外限制。

Findings 1 items

Severity	Finding	Location
Low	依赖声明宽泛但未使用 Supply Chain pyproject.toml 声明 requests>=2.28 依赖，但实际代码中没有任何网络请求实现。许可证验证为纯本地模式（license_manager.py:90-96）。 `requests>=2.28` → 可移除未使用的 requests 依赖以减少依赖树	`pyproject.toml:37`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	cli.py:242-249 skill_wrapper.py:26
Network	`NONE`	`NONE`	—	代码中无网络请求实现
Shell	`NONE`	`READ`	✓ Aligned	skill_wrapper.py:26 subprocess.run 仅用于调用本地 clawscan CLI

8 findings

🔗

Medium External URL 外部 URL

https://clawhub.ai/signup

PUBLISH.md:45

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/python-3.10+-blue.svg

README.md:3

🔗

Medium External URL 外部 URL

https://www.python.org/downloads/

README.md:3

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/License-MIT-yellow.svg

README.md:4

🔗

Medium External URL 外部 URL

https://opensource.org/licenses/MIT

README.md:4

🔗

Medium External URL 外部 URL

https://clawscan.dev

SKILL.md:73

🔗

Medium External URL 外部 URL

https://docs.clawscan.dev

pyproject.toml:42

📧

Info Email 邮箱地址

[email protected]

SKILL.md:167

File Tree

16 files · 74.9 KB · 2421 lines

Python 11f · 1751L Markdown 4f · 616L TOML 1f · 54L

├─ ▾ 📁 core

│ ├─ 🐍 __init__.py Python 5L · 176 B

│ ├─ 🐍 advanced_analyzer.py Python 230L · 8.1 KB

│ ├─ 🐍 batch_scanner.py Python 156L · 5.3 KB

│ ├─ 🐍 dynamic_tracer.py Python 249L · 9.0 KB

│ ├─ 🐍 license_manager.py Python 159L · 5.0 KB

│ ├─ 🐍 models.py Python 59L · 1.6 KB

│ ├─ 🐍 risk_engine.py Python 110L · 3.8 KB

│ ├─ 🐍 scanner.py Python 101L · 3.4 KB

│ └─ 🐍 static_analyzer.py Python 262L · 9.3 KB

├─ ▾ 📁 skill

│ ├─ 🐍 skill_wrapper.py Python 74L · 1.9 KB

│ └─ 📝 SKILL.md Markdown 171L · 4.2 KB

├─ 🐍 cli.py Python 346L · 11.0 KB

├─ 📝 PUBLISH.md Markdown 135L · 2.5 KB

├─ 📄 pyproject.toml TOML 54L · 1.3 KB

├─ 📝 README.md Markdown 139L · 4.0 KB

└─ 📝 SKILL.md Markdown 171L · 4.2 KB

Dependencies 4 items

Package	Version	Source	Known Vulns	Notes
`requests`	`>=2.28`	pip	No	声明但未使用
`RestrictedPython`	`>=7.0`	pip	No	用于沙箱执行被扫描代码，版本锁定
`click`	`>=8.0`	pip	No	CLI 框架，无已知漏洞
`rich`	`>=13.0`	pip	No	终端美化库，无已知漏洞

Security Positives

✓ 使用 AST 静态分析 + RestrictedPython 沙箱执行，技术方案合理

✓ 许可证验证完全本地执行，不上传任何数据（符合隐私声明）

✓ 无 eval/exec 动态代码执行危险

✓ 无访问 ~/.ssh、~/.aws、.env 等敏感路径

✓ 无 base64 编码执行或代码混淆

✓ 无凭证收割或 API 密钥外传行为

✓ 无远程脚本下载执行（curl|bash 管道）

✓ BatchScanner 仅在 Premium 许可证验证后可用

Scan Report

Findings 1 items

File Tree

Dependencies 4 items

Security Positives