Name: math-utils Security Report — Suspicious | ClawSafe
Item: math-utils
Rating: 50
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

50 /100

math-utils

基于本地CLI工具的数学计算技能

数学计算工具存在命令注入漏洞：expression参数未经验证直接拼接到shell命令中，SKILL.md未警告此风险

Skill Namemath-utils

Duration46.3s

Enginepi

ClawHub Math Utils Native v1.0.1 by johnnyhou327

📥 295 📦 1

ClawHub Verdict Suspicious dangerous_execllm_suspiciousvt_suspicious

⚠

Use with caution

必须对expression参数进行严格白名单验证（仅允许数字、括号、运算符），或改用安全计算库（如math.js）替代CLI调用

Attack Chain 3 steps

◎

Entry 用户提供恶意数学表达式

main.js:18

⬡

Escalation expression参数未过滤直接拼接入shell命令

main.js:24

◉

Impact 注入命令执行（如读取/etc/passwd、反弹shell）

main.js:24

Findings 3 items

Severity	Finding	Location
High	命令注入漏洞 RCE calculate()函数的expression参数未经过滤直接拼接到shell命令中。攻击者可通过传入表达式如'; cat /etc/passwd \|'或'$(whoami)'执行任意系统命令 result = execSync(`echo "scale=10; ${expression}" \| bc`, { encoding: 'utf-8' }) → 实现输入白名单验证：仅允许[0-9+\-*/().]字符，拒绝任何shell特殊字符	`main.js:24`
Medium	安全风险未声明 Doc Mismatch SKILL.md声称'100%准确性'但未警告命令注入风险，用户无法意识到传入恶意表达式的后果 `确保计算的 100% 准确性` → 在文档中添加安全警告，说明expression参数的信任边界	`SKILL.md:6`
Low	无第三方依赖锁定 Supply Chain 仅使用Node.js内置模块，无外部依赖风险 `const { execSync } = require('child_process');` → 无需操作	`main.js:1`

Resource	Declared	Inferred	Status	Evidence
Shell	`WRITE`	`WRITE`	✓ Aligned	main.js:24 execSync调用
Filesystem	`READ`	`READ`	✓ Aligned	仅Node.js标准模块加载

2 files · 2.4 KB · 65 lines

JavaScript 1f · 47L Markdown 1f · 18L

├─ 📜 main.js JavaScript 47L · 1.5 KB

└─ 📝 SKILL.md Markdown 18L · 880 B

Package	Version	Source	Known Vulns	Notes
`Node.js内置模块`	`N/A`	标准库	No	仅用child_process和os模块

✓ 代码简洁，仅约50行，易于审查

✓ 仅使用Node.js内置模块，无第三方依赖

✓ 实现了跨平台支持（Linux/macOS/Windows）