tvs-cc-migrator 安全扫描报告 — 低风险 | ClawSafe

15 /100

tvs-cc-migrator

Claude Code 配置迁移工具，备份和恢复 ~/.claude/ 下的所有配置

Claude Code 配置迁移工具，代码结构清晰，包含敏感信息检测机制，无恶意行为，默认备份 settings.json 时会包含 API 密钥但提供排除选项。

技能名称tvs-cc-migrator

分析耗时31.2s

引擎pi

✓

可以安装

可正常使用。建议用户在备份时使用 --exclude=settings_sensitive 选项避免敏感数据进入备份包。

安全发现 3 项

严重性	安全发现	位置
中危	默认备份包含敏感信息脚本默认会将 settings.json 完整备份，其中可能包含 ANTHROPIC_AUTH_TOKEN 等敏感凭据。虽然提供 --exclude=settings_sensitive 选项，但默认行为不会排除。 `copyFileSync(join(CLAUDE_DIR, 'settings.json'), join(outputDir, 'settings.json'))` → 考虑将 --exclude=settings_sensitive 设为默认行为，或在 SKILL.md 中更醒目地提示用户使用排除敏感字段选项。	`scripts/backup.mjs:268`
低危	敏感字段检测机制代码实现了敏感信息检测（TOKEN、SECRET、KEY、PASSWORD、CREDENTIAL、AUTH 关键字），并提供清空敏感字段的选项。这是良好的安全实践。 `const SENSITIVE_KEYWORDS = ['TOKEN', 'SECRET', 'KEY', 'PASSWORD', 'CREDENTIAL', 'AUTH']` → 继续保持此设计。恢复时也会清空敏感字段并提示用户手动配置。	`scripts/backup.mjs:66`
提示	无网络请求代码未实现任何网络通信，备份数据仅存储在本地。 `import { existsSync, mkdirSync, copyFileSync, readFileSync, writeFileSync, readdirSync } from 'fs'` → 无需修改。	`scripts/backup.mjs:1`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`WRITE`	✓ 一致	backup.mjs:1-10 使用 fs 模块读写 ~/.claude/
命令执行	`NONE`	`WRITE`	✓ 一致	backup.mjs:11 execSync 用于 tar/powershell 打包

4 文件 · 32.1 KB · 884 行

JavaScript 1f · 632L Markdown 2f · 247L JSON 1f · 5L

├─ ▾ 📁 scripts

│ └─ 📜 backup.mjs JavaScript 632L · 23.0 KB

├─ 📋 _meta.json JSON 5L · 134 B

├─ 📝 RESTORE_GUIDE.md Markdown 91L · 3.3 KB

└─ 📝 SKILL.md Markdown 156L · 5.6 KB

✓ 代码结构清晰，无混淆或隐藏逻辑

✓ 实现了敏感信息检测机制，可识别 settings.json 中的 API 密钥

✓ 提供排除敏感字段的选项（--exclude=settings_sensitive）

✓ 恢复流程会清空敏感字段并提醒用户手动配置

✓ 排除了 .git、.DS_Store 等非配置目录

✓ 跨平台支持（Mac/Linux/Windows）

✓ 使用 execSync 仅用于本地打包操作，不涉及远程执行