rtk 安全扫描报告 — 可信 | ClawSafe

5 /100

rtk

RTK (Rust Token Kit) - CLI proxy that reduces LLM token consumption by 60-90% on common dev commands

纯文档型技能，仅包含 SKILL.md 和参考文档，无实际可执行代码。功能描述为 CLI 输出压缩工具，声称零依赖，风险极低。

技能名称rtk

分析耗时26.8s

引擎pi

✓

可以安装

此技能无脚本代码，无法验证运行时行为。建议在生产环境使用前确认 rtk 二进制文件来源可信。

安全发现 2 项

严重性	安全发现	位置
低危	文档依赖外部工具文档欺骗 SKILL.md 声明 rtk 是预装的 Rust 二进制工具，技能本身不包含该工具的源代码。仅通过文档描述功能，无法验证实际行为是否与声明一致。 `RTK (Rust Token Kit) - CLI proxy that reduces LLM token consumption...` → 在部署前验证 rtk 二进制来源（如通过包管理器安装的官方版本），避免使用来源不明的预装版本。	`SKILL.md:1`
提示	提及敏感路径 ~/.local/share/rtk/tee/ 敏感访问错误处理部分提到会写入 ~/.local/share/rtk/tee/<timestamp>_<command>.log 存储失败日志，这是正常的日志功能，非恶意行为。 `[full output: ~/.local/share/rtk/tee/1707753600_cargo_test.log]` → 无需处理，这是合法的日志功能。	`SKILL.md:98`

资源类型	声明权限	推断权限	状态	证据
命令执行	`NONE`	`READ`	✓ 一致	SKILL.md 描述命令包装功能但无脚本实现
文件系统	`NONE`	`NONE`	—	文档提到 ~/.local/share/rtk/tee/ 但无实际文件操作代码
网络访问	`NONE`	`NONE`	—	无网络调用代码

1 项发现

🔗

中危外部 URL 外部 URL

https://www.rtk-ai.app

SKILL.md:260

2 文件 · 12.7 KB · 520 行

Markdown 2f · 520L

├─ ▾ 📁 references

│ └─ 📝 rtk-full-docs.md Markdown 260L · 6.4 KB

└─ 📝 SKILL.md Markdown 260L · 6.4 KB

✓ 无实际脚本代码，不存在代码执行风险

✓ 文档描述的功能（CLI 输出压缩）本身无害

✓ 声称 zero dependencies，降低供应链风险

✓ 支持命令白名单机制（git, ls, grep 等有限命令）