扫描报告
5 /100
clawpage-skill
Clawpage工作流路由器,支持页面创建/更新/模板管理/账号初始化
Clawpage技能是合法的静态页面构建工具,所有功能(初始化、创建/更新页面、模板管理)均已声明且实现一致,无恶意行为。
可以安装
可直接使用。无需修改。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | SKILL.md声明读写.pages/*、templates/*、keys.local.json;代码实现bundlePageProject()、loadKey… |
| 网络访问 | WRITE | WRITE | ✓ 一致 | SKILL.md声明调用api.clawpage.ai;代码实现createPage()、updatePage()、registerAccount()仅向htt… |
| 命令执行 | NONE | NONE | — | SKILL.md未声明shell执行;scripts/*.mjs使用node解释器直接执行,无bash/sh管道 |
| 环境变量 | READ | READ | ✓ 一致 | init/SKILL.md声明读取os.userInfo()用于生成用户名;仅用于注册目的 |
| 技能调用 | WRITE | WRITE | ✓ 一致 | 主SKILL.md作为路由器,正确委托给子skills/*目录 |
| 剪贴板 | NONE | NONE | — | 代码中无clipboard相关API调用 |
| 浏览器 | NONE | NONE | — | templates为静态HTML/CSS/JS,无puppeteer/playwright等自动化浏览器 |
| 数据库 | NONE | NONE | — | 代码中无数据库连接操作 |
12 项发现
中危 外部 URL 外部 URL
https://api.clawpage.ai/api/register AGENTS.md:22 中危 外部 URL 外部 URL
https://api.clawpage.ai SKILL.md:66 中危 外部 URL 外部 URL
https://api.clawpage.ai/api/pages references/api-quickref.md:66 中危 外部 URL 外部 URL
https://u-builder01.clawpage.ai/pages/claw_xxx references/api-quickref.md:80 中危 外部 URL 外部 URL
https://u-builder01.clawpage.ai/pages/claw_xxx?pagecode=123456 references/api-quickref.md:84 中危 外部 URL 外部 URL
https://api.clawpage.ai/api/pages?page=1&limit=20 references/api-quickref.md:112 中危 外部 URL 外部 URL
https://api.clawpage.ai/api/pages/ references/api-quickref.md:121 中危 外部 URL 外部 URL
https://u-builder01.clawpage.ai/__auth references/api-quickref.md:175 中危 外部 URL 外部 URL
https://api.clawpage.ai/healthz references/api-quickref.md:183 中危 外部 URL 外部 URL
https://api.clawpage.ai/api/pages?page=1&limit=50 skills/create-management-page/SKILL.md:55 中危 外部 URL 外部 URL
https://cdn.tailwindcss.com templates/concept-animation-lab/index.html:7 中危 外部 URL 外部 URL
https://clawpage.ai templates/concept-animation-lab/index.html:34 目录结构
38 文件 · 114.6 KB · 3488 行 Markdown 17f · 1252L
CSS 6f · 1082L
JavaScript 8f · 827L
HTML 6f · 321L
JSON 1f · 6L
├─
▾
references
│ ├─
api-quickref.md
Markdown
│ ├─
design-guidelines.md
Markdown
│ └─
prompt-contracts.md
Markdown
├─
▾
scripts
│ ├─
clawpages_init.mjs
JavaScript
│ └─
clawpages_publish.mjs
JavaScript
├─
▾
skills
│ ├─
▾
create-management-page
│ │ └─
SKILL.md
Markdown
│ ├─
▾
create-page
│ │ └─
SKILL.md
Markdown
│ ├─
▾
create-template
│ │ └─
SKILL.md
Markdown
│ ├─
▾
init
│ │ └─
SKILL.md
Markdown
│ ├─
▾
update-page
│ │ └─
SKILL.md
Markdown
│ └─
▾
update-template
│ └─
SKILL.md
Markdown
├─
▾
templates
│ ├─
▾
concept-animation-lab
│ │ ├─
default.css
CSS
│ │ ├─
default.js
JavaScript
│ │ ├─
index.html
HTML
│ │ └─
meta.md
Markdown
│ ├─
▾
general_template
│ │ ├─
default.css
CSS
│ │ ├─
default.js
JavaScript
│ │ ├─
index.html
HTML
│ │ └─
meta.md
Markdown
│ ├─
▾
insight-collection-hub
│ │ ├─
default.css
CSS
│ │ ├─
default.js
JavaScript
│ │ ├─
index.html
HTML
│ │ └─
meta.md
Markdown
│ ├─
▾
mini-game-arcade
│ │ ├─
default.css
CSS
│ │ ├─
default.js
JavaScript
│ │ ├─
index.html
HTML
│ │ └─
meta.md
Markdown
│ ├─
▾
stock-analysis-terminal
│ │ ├─
default.css
CSS
│ │ ├─
default.js
JavaScript
│ │ ├─
index.html
HTML
│ │ └─
meta.md
Markdown
│ └─
▾
utility-workbench
│ ├─
default.css
CSS
│ ├─
default.js
JavaScript
│ ├─
index.html
HTML
│ └─
meta.md
Markdown
├─
AGENTS.md
Markdown
├─
keys.local.example.json
JSON
└─
SKILL.md
Markdown
安全亮点
✓ 文档-行为完全一致:所有代码操作均在SKILL.md中声明
✓ 无阴影功能:无代码做了但文档没说的操作
✓ 网络边界清晰:仅与api.clawpage.ai通信,无外部IP请求
✓ 无shell执行:scripts/*.mjs使用node执行,避免bash管道风险
✓ 无凭证收割:loadKeys()仅读取本地keys.local.json用于API认证
✓ 无数据外泄:publish仅发送用户生成的HTML内容到自有API
✓ 无混淆代码:无base64/eval/atob等反分析技术
✓ 文件操作受限:仅操作.pages/、templates/、keys.local.json
✓ 无敏感路径访问:不读取~/.ssh、~/.aws、.env等凭证路径
✓ 无第三方依赖:无pip/npm包引入供应链风险
✓ 纯原生实现:仅使用Node.js内置fs/path/fetch/os模块