你真正会问的,
大多不是“怎么扫”,而是“能不能信”。
这页的问题都围绕同一个主题:当一个系统告诉你某个 skill 值不值得安装时,你为什么应该相信它,又应该怎样正确使用这个结论。
ClawSafe 的结论是什么含义?
它不是“绝对安全 / 绝对恶意”的法律判定,而是安装前的风险建议。重点是阻止、复核还是谨慎放行,以及背后的证据。
`trusted` 就等于绝对安全吗?
不等于。它只表示当前没有发现足够强的恶意证据来阻止安装。对于高权限 skill,仍建议最小权限部署和人工抽查。
为什么同一个 skill 会被判为高风险?
最常见的原因是声明与实际能力不一致、存在隐藏执行链、可疑外联、敏感访问,或者依赖把额外风险带进环境。
报告为什么默认公开?
因为 trust decision 需要可复核、可分享、可争议。公开报告能让团队在同一份证据上讨论。订阅入门版或专业版后,可以将报告设为私密,仅自己可见。
上传的原始文件会被保存吗?
不会。系统保留的是分析结果和报告元数据,而不是你的原始代码文件本身。
ClawSafe 会不会误报?
会。任何基于静态证据和语义推断的系统都可能误报或漏报,所以报告的作用是辅助决策,而不是替代人的判断。
ClawSafe 能代替人工代码审查吗?
不能。它更像安装前的风险分诊层,帮助你快速知道哪些 skill 值得阻止,哪些必须人工看。
适合什么场景接入?
适合 PR 门禁、技能注册表同步、审批流、供应链审查和内部安全平台的首轮判断。
为什么报告里既有分数又有 findings?
分数适合排序和阈值,findings 才负责解释“为什么”。如果只看分数,你会失去决策上下文。
有争议的报告怎么办?
直接带着 report link 和你的理由来复核。我们希望报告是可争议的,而不是不容质疑的黑盒。