semanticfs Security Report — Suspicious | ClawSafe

55 /100

semanticfs

Semantic search over local filesystem — replace grep/find/ls/cat chains with semantic queries

该技能为语义搜索工具，但其安装过程使用了高危的 curl|bash 远程脚本执行模式，且未声明 shell 和 network:WRITE 权限，存在明显的供应链风险和权限越权。

Skill Namesemanticfs

Duration54.0s

Enginepi

⚠

Use with caution

必须将安装方式替换为包管理器（pip install semanticfs 或预编译二进制校验下载），并补充声明 shell:WRITE 和 network:WRITE 权限。建议在安装前增加 hash 校验。

Attack Chain 3 steps

◎

Entry AI Agent 读取 SKILL.md，识别为语义搜索工具（read-only）

SKILL.md:1

⬡

Escalation 根据文档执行 curl|bash 安装命令，从 GitHub 下载并执行 install.sh

SKILL.md:40

◉

Impact install.sh 被篡改或仓库被入侵，植入恶意 payload（如持久化后门、SSH 密钥收割）

SKILL.md:40

Findings 4 items

Severity	Finding	Location
Critical	curl\|bash 远程脚本执行（最高危模式） Supply Chain SKILL.md 第 40 行引导用户执行 curl -sSfL https://raw.githubusercontent.com/Navneeth08k/semanticFS/main/scripts/install.sh \| bash。该模式直接从互联网下载脚本并通过 bash 执行，是经典的供应链攻击向量。若 GitHub 仓库被入侵、域名劫持或 CDN 被污染，AI Agent 将无差别执行恶意代码。无 hash 校验、无版本锁定、无签名验证。 `curl -sSfL https://raw.githubusercontent.com/Navneeth08k/semanticFS/main/scripts/install.sh \| bash` → 替换为包管理器安装（pip install semanticfs==x.x.x）或预编译二进制校验下载（如 sha256sum + GPG 签名），并在 SKILL.md 中声明 network:WRITE 和 shell:WRITE 权限。	`SKILL.md:40`
High	未声明 shell:WRITE 权限越权 Priv Escalation 该技能文档声明为 read-only（文件系统），但安装过程需要通过 bash 管道执行远程脚本。shell:WRITE 权限完全未在 metadata.requires 中声明，违反了最小权限原则。 `\| bash (安装脚本执行)` → 在 metadata.requires.bins 中补充声明所需工具和权限，或将安装步骤从 AI Agent 执行流程中移除，改为预安装前提条件。	`SKILL.md:40`
High	未声明 network:WRITE 权限越权 Priv Escalation 该技能文档未声明任何网络写入（发送）能力，但实际从外部 GitHub URL 下载并执行代码，属于 network:WRITE 操作。 `curl -sSfL https://raw.githubusercontent.com/...` → 在文档中明确声明需要 network:WRITE 权限（从外部 URL 下载内容），并说明下载内容的来源和用途。	`SKILL.md:40`
Medium	install.sh 脚本内容不可审计 Supply Chain install.sh 存放在第三方 GitHub 仓库中，AI Agent 在执行前无法审查其内容。该脚本可能执行以下危险操作：写入计划任务（持久化）、修改 ~/.bashrc、安装后门二进制、收集系统信息等。 `install.sh — 脚本内容未知，无审计路径` → 要求 install.sh 内容可被 AI Agent 读取审查，或使用 pip/npm 等有审计机制的包管理器分发。	`SKILL.md:40`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md:17-18 明确说明 SemanticFS 是 read-only，永不修改文件
Network	`READ`	`WRITE`	✗ Violation	SKILL.md:40 curl -sSfL https://... \| bash — 从外部 URL 下载并执行代码，属于 network:WRITE
Shell	`NONE`	`WRITE`	✗ Violation	SKILL.md:40 使用 \| bash 管道执行远程脚本，属于 shell:WRITE，且 SKILL.md 未声明
Environment	`NONE`	`NONE`	—	无相关代码
Skill Invoke	`NONE`	`NONE`	—	无相关代码
Clipboard	`NONE`	`NONE`	—	无相关代码
Browser	`NONE`	`NONE`	—	无相关代码
Database	`NONE`	`NONE`	—	无相关代码

1 Critical 1 findings

💀

Critical Dangerous Command 危险 Shell 命令

curl -sSfL https://raw.githubusercontent.com/Navneeth08k/semanticFS/main/scripts/install.sh | bash

SKILL.md:40

File Tree

1 files · 4.0 KB · 131 lines

Markdown 1f · 131L

└─ 📝 SKILL.md Markdown 131L · 4.0 KB

Security Positives

✓ 声明了 read-only 性质，不修改本地文件（文件系统部分合规）

✓ 文档结构清晰，功能边界描述准确（除安装部分外）

✓ guardrails 明确标注只搜索已索引目录，降低误操作风险

✓ 无本地脚本文件，避免了阴影功能风险

✓ 本地搜索通过 localhost API 实现，不直接访问文件系统，减小了暴露面

Scan Report

Attack Chain 3 steps

Findings 4 items

File Tree

Security Positives