aliyun-ai-guardrail Security Report — Low Risk | ClawSafe

20 /100

aliyun-ai-guardrail

Install and configure Alibaba Cloud AI guardrail hook, intercepts malicious content in LLM requests

合法的阿里云AI安全护栏工具，通过全局fetch拦截LLM请求进行内容审查，未发现恶意行为

Skill Namealiyun-ai-guardrail

Duration75.2s

Enginepi

✓

Safe to install

确认功能与文档一致，可安全使用。注意审查阿里云凭证的存储和传输安全

Findings 2 items

Severity	Finding	Location
Low	文档声明不完整 Doc Mismatch SKILL.md 未明确声明所需权限和 allowed-tools 配置，用户需阅读代码才能了解完整权限需求 `文档声明为'Install and configure Alibaba Cloud AI guardrail'但未列出实际使用的 allowed-tools` → 建议在 SKILL.md 中补充 allowed-tools 和所需权限声明	`SKILL.md:1`
Info	收集阿里云凭证 Sensitive Access 技能需要用户输入阿里云 AccessKey ID 和 Secret 用于 API 调用，这是正常功能需要 `Ask the user for their Alibaba Cloud AccessKey ID and AccessKey Secret` → 确保凭证通过安全渠道传递，不硬编码或日志输出	`SKILL.md:14`

Resource	Declared	Inferred	Status	Evidence
Network	`NONE`	`WRITE`	✓ Aligned	assets/aliyun-ai-guardrail/hooks/aliyun-ai-guardrail/handler.ts:119 连接到阿里云API gr…
Environment	`NONE`	`READ`	✓ Aligned	handler.ts:11-12 读取 ALIBABA_CLOUD_ACCESS_KEY_ID 和 ALIBABA_CLOUD_ACCESS_KEY_SECRE…

6 files · 10.7 KB · 282 lines

TypeScript 1f · 170L Markdown 3f · 77L Text 1f · 20L JSON 1f · 15L

├─ ▾ 📁 assets

│ └─ ▾ 📁 aliyun-ai-guardrail

│ ├─ ▾ 📁 hooks

│ │ └─ ▾ 📁 aliyun-ai-guardrail

│ │ ├─ 📜 handler.ts TypeScript 170L · 6.2 KB

│ │ └─ 📝 HOOK.md Markdown 8L · 330 B

│ └─ 📋 package.json JSON 15L · 306 B

├─ 📄 LICENSE.txt Text 20L · 1.1 KB

├─ 📝 README.md Markdown 23L · 1.0 KB

└─ 📝 SKILL.md Markdown 46L · 1.8 KB

Package	Version	Source	Known Vulns	Notes
`@alicloud/openapi-client`	`^0.4.12`	npm	No	阿里云官方SDK，来源可信

✓ 代码逻辑清晰，无混淆或隐藏执行路径

✓ 使用 SECURITY_MARKER 防止循环检查

✓ 实现了缓存机制避免重复 API 调用

✓ 有 1 秒超时保护防止 API 阻塞

✓ 错误处理完善，检查失败时优雅降级

✓ 使用阿里云官方 SDK @alicloud/openapi-client

✓ 无数据外泄到非声明目标

✓ 无凭证外传行为