semanticfs 安全扫描报告 — 可疑 | ClawSafe

55 /100

semanticfs

Semantic search over local filesystem — replace grep/find/ls/cat chains with semantic queries

该技能为语义搜索工具，但其安装过程使用了高危的 curl|bash 远程脚本执行模式，且未声明 shell 和 network:WRITE 权限，存在明显的供应链风险和权限越权。

技能名称semanticfs

分析耗时54.0s

引擎pi

⚠

谨慎使用

必须将安装方式替换为包管理器（pip install semanticfs 或预编译二进制校验下载），并补充声明 shell:WRITE 和 network:WRITE 权限。建议在安装前增加 hash 校验。

攻击链 3 步

◎

入口 AI Agent 读取 SKILL.md，识别为语义搜索工具（read-only）

SKILL.md:1

⬡

提权根据文档执行 curl|bash 安装命令，从 GitHub 下载并执行 install.sh

SKILL.md:40

◉

影响 install.sh 被篡改或仓库被入侵，植入恶意 payload（如持久化后门、SSH 密钥收割）

SKILL.md:40

安全发现 4 项

严重性	安全发现	位置
严重	curl\|bash 远程脚本执行（最高危模式）供应链 SKILL.md 第 40 行引导用户执行 curl -sSfL https://raw.githubusercontent.com/Navneeth08k/semanticFS/main/scripts/install.sh \| bash。该模式直接从互联网下载脚本并通过 bash 执行，是经典的供应链攻击向量。若 GitHub 仓库被入侵、域名劫持或 CDN 被污染，AI Agent 将无差别执行恶意代码。无 hash 校验、无版本锁定、无签名验证。 `curl -sSfL https://raw.githubusercontent.com/Navneeth08k/semanticFS/main/scripts/install.sh \| bash` → 替换为包管理器安装（pip install semanticfs==x.x.x）或预编译二进制校验下载（如 sha256sum + GPG 签名），并在 SKILL.md 中声明 network:WRITE 和 shell:WRITE 权限。	`SKILL.md:40`
高危	未声明 shell:WRITE 权限越权权限提升该技能文档声明为 read-only（文件系统），但安装过程需要通过 bash 管道执行远程脚本。shell:WRITE 权限完全未在 metadata.requires 中声明，违反了最小权限原则。 `\| bash (安装脚本执行)` → 在 metadata.requires.bins 中补充声明所需工具和权限，或将安装步骤从 AI Agent 执行流程中移除，改为预安装前提条件。	`SKILL.md:40`
高危	未声明 network:WRITE 权限越权权限提升该技能文档未声明任何网络写入（发送）能力，但实际从外部 GitHub URL 下载并执行代码，属于 network:WRITE 操作。 `curl -sSfL https://raw.githubusercontent.com/...` → 在文档中明确声明需要 network:WRITE 权限（从外部 URL 下载内容），并说明下载内容的来源和用途。	`SKILL.md:40`
中危	install.sh 脚本内容不可审计供应链 install.sh 存放在第三方 GitHub 仓库中，AI Agent 在执行前无法审查其内容。该脚本可能执行以下危险操作：写入计划任务（持久化）、修改 ~/.bashrc、安装后门二进制、收集系统信息等。 `install.sh — 脚本内容未知，无审计路径` → 要求 install.sh 内容可被 AI Agent 读取审查，或使用 pip/npm 等有审计机制的包管理器分发。	`SKILL.md:40`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	SKILL.md:17-18 明确说明 SemanticFS 是 read-only，永不修改文件
网络访问	`READ`	`WRITE`	✗ 越权	SKILL.md:40 curl -sSfL https://... \| bash — 从外部 URL 下载并执行代码，属于 network:WRITE
命令执行	`NONE`	`WRITE`	✗ 越权	SKILL.md:40 使用 \| bash 管道执行远程脚本，属于 shell:WRITE，且 SKILL.md 未声明
环境变量	`NONE`	`NONE`	—	无相关代码
技能调用	`NONE`	`NONE`	—	无相关代码
剪贴板	`NONE`	`NONE`	—	无相关代码
浏览器	`NONE`	`NONE`	—	无相关代码
数据库	`NONE`	`NONE`	—	无相关代码

1 严重 1 项发现

💀

严重危险命令危险 Shell 命令

curl -sSfL https://raw.githubusercontent.com/Navneeth08k/semanticFS/main/scripts/install.sh | bash

SKILL.md:40

目录结构

1 文件 · 4.0 KB · 131 行

Markdown 1f · 131L

└─ 📝 SKILL.md Markdown 131L · 4.0 KB

安全亮点

✓ 声明了 read-only 性质，不修改本地文件（文件系统部分合规）

✓ 文档结构清晰，功能边界描述准确（除安装部分外）

✓ guardrails 明确标注只搜索已索引目录，降低误操作风险

✓ 无本地脚本文件，避免了阴影功能风险

✓ 本地搜索通过 localhost API 实现，不直接访问文件系统，减小了暴露面