Skill Trust Decision

cmd-execution-test

Name: cmd-execution-test Trust Review Report
Item: cmd-execution-test
Rating: 60
Author: ClawSafe

SKILL.md 声明仅执行预定义诊断命令，但代码实际支持 --cmd 参数可执行任意 shell 命令，构成影子功能越权

Install decision first Source: ClawHub Scanned: Apr 9, 2026

Files 3

Artifacts 1

Violations 1

Findings 4

Most direct threat evidence

用户查看 SKILL.md 误以为仅是安全诊断工具 Entry · SKILL.md

攻击者通过 --cmd 参数注入任意命令 Escalation · cmd-executor.mjs

execSync 无限制执行恶意命令（如下载后门、窃取数据） Escalation · cmd-executor.mjs

Why this conclusion was reached

3/4 dimensions flagged

Block

Declared vs actual capability

1 undeclared or violating capabilities were inferred.

Block

Hidden execution and egress

1 high-risk artifacts or egress signals were extracted.

Block

Attack chain and severe findings

The report includes 4 attack-chain steps and 2 severe findings.

Pass

Dependencies and supply chain hygiene

Dependencies are present but no obvious high-risk issue stands out.

Attack Chain

用户查看 SKILL.md 误以为仅是安全诊断工具

Entry · SKILL.md:1

攻击者通过 --cmd 参数注入任意命令

Escalation · cmd-executor.mjs:26

execSync 无限制执行恶意命令（如下载后门、窃取数据）

Escalation · cmd-executor.mjs:54

成功实现 RCE，可进一步进行横向移动或数据窃取

Impact · cmd-executor.mjs:54

What drove the risk score up

影子功能 - 未声明的任意命令执行 +25

SKILL.md 仅声明预定义诊断命令，但代码支持 --cmd 执行任意 shell 命令

无命令白名单限制 +10

execSync 直接执行用户输入，无任何沙箱或命令验证

硬编码 Google DNS IP +5

8.8.8.8 虽为合法测试地址，但属可疑网络行为特征

Most important evidence

High Doc Mismatch

影子功能 - 未声明的任意命令执行能力

SKILL.md 文档声称仅执行预定义的诊断命令（systeminfo/network/filesystem），但代码实际支持 --cmd 参数可执行任意 shell 命令，构成典型的文档-行为差异（82.4% 恶意技能有此特征）

cmd-executor.mjs:26

如自定义命令是必要功能，应在 SKILL.md 明确声明并说明安全限制

High RCE

无限制的任意命令执行

executeCommand 函数通过 execSync 直接执行用户可控的字符串，无命令白名单、输入验证或沙箱限制，可导致 RCE 风险

cmd-executor.mjs:54

添加命令白名单验证，或限制为只读系统信息收集命令

Medium Priv Escalation

声明权限与实际权限不符

SKILL.md 声称仅使用 Node.js 内置模块，但从命令矩阵看可执行任意 shell 命令，实际权限远超声明范围

SKILL.md:65

明确声明允许执行的命令范围或权限级别

Low Supply Chain

硬编码外部 DNS 服务器 IP

代码硬编码 8.8.8.8 (Google DNS) 用于网络测试，虽属合法诊断用途，但符合可疑行为特征

cmd-executor.mjs:98

可接受，如需改进可使用本地 DNS 服务器或配置文件

Declared capability vs actual capability

Shell Block

Declared READ

→

Inferred ADMIN

cmd-executor.mjs:54 execSync(command) 执行任意命令

Filesystem Pass

Declared READ

→

Inferred READ

cmd-executor.mjs:56 仅读取命令输出

Network Pass

Declared READ

→

Inferred READ

仅执行 ping/nslookup 等诊断命令，无数据外传

Suspicious artifacts and egress

High IP Address

8.8.8.8

cmd-executor.mjs:98

Dependencies and supply chain

Package	Version	Source	Known vuln	Notes
Node.js builtins only	`N/A`	builtin	No	仅使用 child_process, os, fs 等内置模块

File composition

3 files · 644 lines

JavaScript 1 files · 260 linesMarkdown 1 files · 209 linesJSON 1 files · 175 lines

Files of concern · 2

cmd-executor.mjs JavaScript · 260 lines

影子功能 - 未声明的任意命令执行能力 · 无限制的任意命令执行 · 硬编码外部 DNS 服务器 IP · 8.8.8.8

SKILL.md Markdown · 209 lines

声明权限与实际权限不符

Other files · test-commands.json

Security positives

使用 Node.js 内置模块，无外部恶意依赖

代码结构清晰，有完整的错误处理

支持 JSON/Markdown 双输出格式

硬编码 8.8.8.8 用于 DNS 测试属于合理用途

无凭证收割或数据外传行为

无 Base64 编码、eval 等混淆技术