安全扫描
OpenClaw
可疑
high confidence该技能基本如宣称,但存在多个不一致和风险行为(硬编码 API 密钥、未声明凭证、shell 注入风险和未公告的远程代码泄漏)。安装前请了解这些风险。
评估建议
安装前请考虑:
- 会将克隆的仓库发送到外部 API(ark.cn-beijing.volces.com),敏感信息可能泄漏。
- 代码中硬编码了 API 密钥,建议通过环境变量提供。
- 存在 shell 注入风险,仅使用可信任的 GitHub URL。
- 无安装规范或声明依赖,确保环境有 Node 和 axios。
- 若要降低风险,请在隔离环境运行、仅使用公开仓库或请求源代码更改。...详细分析 ▾
ℹ 用途与能力
技能的声明目的——克隆 GitHub 仓库并使用 DeepSeek 进行分析——与实现一致,但代码中硬编码了 API 密钥,而元数据未声明任何必需的凭证或环境变量,这是不一致的。
⚠ 指令范围
SKILL.md 描述分析公开 GitHub 仓库,但实现会:(1)通过插值 repo URL 到 shell 命令运行 `git clone` — 如果输入不经sanitization,这将容易受到 shell 注入攻击;(2)读取和向远程 API (ark.cn-beijing.volces.com) 发送采样的源代码和项目结构。README 未警告仓库内容将被传输到该外部端点,也未讨论私有仓库处理或数据保留。
ℹ 安装机制
没有安装规范(仅指令/内联代码),但包中包含依赖于 axios 和 Node 运行时的 index.js。注册表未声明任何必需的二进制文件或依赖项。这是包装/操作问题(可能在运行时失败,如果代理环境缺乏 Node/axios),但不是恶意意图的直接指示。
⚠ 凭证需求
技能未声明任何必需的环境变量或凭证,但源代码中包含硬编码的 ARK_API_KEY 值,并将仓库内容发送到外部服务。这是不一致且有风险的:代码中嵌入的秘密是糟糕的做法,发送代码到远程服务应该明确声明/正当化(并且通常应该要求操作员通过环境变量提供 API 密钥)。
✓ 持久化与权限
技能不是始终启用并且不请求系统范围的持久性。它创建一个临时目录来克隆仓库并尝试清理它。没有证据表明它修改其他技能或系统配置。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/3/17
● 可疑
安装命令 点击复制
官方npx clawhub@latest install github-code-analyzer
镜像加速npx clawhub@latest install github-code-analyzer --registry https://cn.clawhub-mirror.com
技能文档
一个用于分析 GitHub 仓库代码质量、漏洞和安全问题的技能,使用 DeepSeek AI。
功能
- 克隆任何公开 GitHub 仓库
- 分析项目结构
- 识别代码漏洞和安全漏洞
- 提供改进建议
- 支持多种 AI 模型
使用方法
analyze https://github.com/owner/repo
analyze https://github.com/owner/repo --model deepseek
参数
| 参数 | 类型 | 描述 | 默认值 |
|---|---|---|---|
| repo | string | GitHub 仓库 URL | 必需 |
| model | string | 使用的 AI 模型(deepseek, deepseek-coder) | deepseek |
# 分析一个仓库
analyze https://github.com/Openwrt-Passwall/openwrt-passwall
# 使用特定模型
analyze https://github.com/facebook/react --model deepseek-coder
支持的模型
deepseek- 通用分析deepseek-coder- 优化的代码分析
输出
分析器提供:- 项目结构概览
- 代码质量评估
- 漏洞和安全问题识别
- 改进建议
技术细节
- 使用
git clone以--depth 1进行快速克隆 - 从多种语言中采样代码文件
- 与 DeepSeek API 集成进行 AI 分析
- 如果 API 失败,回退到结构分析
许可
MIT数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制