rtk Security Report — Trusted | ClawSafe

5 /100

rtk

RTK (Rust Token Kit) - CLI proxy that reduces LLM token consumption by 60-90% on common dev commands

纯文档型技能，仅包含 SKILL.md 和参考文档，无实际可执行代码。功能描述为 CLI 输出压缩工具，声称零依赖，风险极低。

Skill Namertk

Duration26.8s

Enginepi

✓

Safe to install

此技能无脚本代码，无法验证运行时行为。建议在生产环境使用前确认 rtk 二进制文件来源可信。

Findings 2 items

Severity	Finding	Location
Low	文档依赖外部工具 Doc Mismatch SKILL.md 声明 rtk 是预装的 Rust 二进制工具，技能本身不包含该工具的源代码。仅通过文档描述功能，无法验证实际行为是否与声明一致。 `RTK (Rust Token Kit) - CLI proxy that reduces LLM token consumption...` → 在部署前验证 rtk 二进制来源（如通过包管理器安装的官方版本），避免使用来源不明的预装版本。	`SKILL.md:1`
Info	提及敏感路径 ~/.local/share/rtk/tee/ Sensitive Access 错误处理部分提到会写入 ~/.local/share/rtk/tee/<timestamp>_<command>.log 存储失败日志，这是正常的日志功能，非恶意行为。 `[full output: ~/.local/share/rtk/tee/1707753600_cargo_test.log]` → 无需处理，这是合法的日志功能。	`SKILL.md:98`

Resource	Declared	Inferred	Status	Evidence
Shell	`NONE`	`READ`	✓ Aligned	SKILL.md 描述命令包装功能但无脚本实现
Filesystem	`NONE`	`NONE`	—	文档提到 ~/.local/share/rtk/tee/ 但无实际文件操作代码
Network	`NONE`	`NONE`	—	无网络调用代码

1 findings

🔗

Medium External URL 外部 URL

https://www.rtk-ai.app

SKILL.md:260

2 files · 12.7 KB · 520 lines

Markdown 2f · 520L

├─ ▾ 📁 references

│ └─ 📝 rtk-full-docs.md Markdown 260L · 6.4 KB

└─ 📝 SKILL.md Markdown 260L · 6.4 KB

✓ 无实际脚本代码，不存在代码执行风险

✓ 文档描述的功能（CLI 输出压缩）本身无害

✓ 声称 zero dependencies，降低供应链风险

✓ 支持命令白名单机制（git, ls, grep 等有限命令）