首页 / 技能 / find-bugs — 本地分支代码Bug查找

📦 find-bugs — 本地分支代码Bug查找

v0.1.0

在本地分支变更中查找bug、安全漏洞和代码质量问题。当被要求审查变更、查找bug、安全审查或审计当前分支代码时使用。

0· 29·0 当前·0 累计
wu-uk 头像by @wu-uk·MIT-0
生产力工具
下载技能包
License
MIT-0
最后更新
2026/4/15
0
安全扫描
VirusTotal
无害
查看报告
OpenClaw
可疑
medium confidence
技能的指令与本地代码审查工具一致,但SKILL.md需要'git'命令并做出脆弱的假设(例如,分支名为'master',读取完整diff),而元数据声明没有必需的二进制文件——这种不匹配和一些范围假设在使用前应该被修复。
评估建议
这个技能看起来像一个合理的本地代码审查清单,但在信任它之前修复元数据不匹配:声明'git'为必需的二进制文件(或更新指令以处理缺失的git)。请注意,指令会读取分支中的每个变更文件——仓库通常包含敏感数据(API密钥、私有证书、大型日志)。仅在你信任的仓库上运行此技能,并避免在读取仓库可能将秘密暴露给agent输出的环境中运行。还应考虑更新SKILL.md以(1)处理默认分支为'main'或其他名称的仓库,(2)允许用户确认基础分支或显式提供,(3)明确如何处理非常大的diff(分页、限制)以避免意外数据泄露。如果需要更高的保证,请请求作者添加明确的required-binaries元数据,并简短说明该技能仅读取本地文件,不向外传输数据。...
详细分析 ▾
用途与能力
技能的声明目的(审查本地分支变更)与SKILL.md指令一致,SKILL.md需要运行git命令并读取仓库文件。然而,注册表元数据没有列出必需的二进制文件,而指令明确调用'git diff'并依赖git可用。这种不匹配是不一致的:代码审查技能合理地需要声明git或等效的VCS工具。
指令范围
SKILL.md给出了详细、具体的审查程序(获取完整diff,读取每个变更文件,映射攻击面,运行检查清单,验证和报告)。它没有指示联系外部端点或访问无关的系统文件。需要注意的是:(1)它假设基础分支名为'master'(许多仓库使用'main'或其他名称),(2)它明确告诉agent读取每个变更文件——这对于仓库审查是预期的,但如果仓库中存在秘密或敏感数据可能会暴露出来。指令在其他方面适当地限定在代码审查任务范围内。
安装机制
没有安装规范和代码文件;这是纯指令式的,安装时任意代码的风险很低。技能本身不会向磁盘写入任何内容。
凭证需求
技能没有声明环境变量、凭证和配置路径。SKILL.md也不请求秘密或外部凭证。这对于本地代码审查辅助工具是相称的。
持久化与权限
技能不是强制启用(always: false),不请求持久化/高权限设置。允许自主调用(平台默认),但这本身不会被标记。技能不请求修改其他技能或系统级设置。
安全有层次,运行前请审查代码。

License

MIT-0

可自由使用、修改和再分发,无需署名。

运行时依赖

无特殊依赖

版本

latestv0.1.02026/4/15

从所有任务技能去重批量发布

无害

安装命令

点击复制
官方npx clawhub@latest install fix-erlang-ssh-cve-find-bugs
镜像加速npx clawhub@latest install fix-erlang-ssh-cve-find-bugs --registry https://cn.longxiaskill.com

技能文档

审查此分支上的变更,查找bug、安全漏洞和代码质量问题。

阶段1:完整输入收集

  • 获取完整diff:git diff master...HEAD
  • 如果输出被截断,单独读取每个变更文件,直到你已看到每个变更行
  • 在继续之前列出此分支修改的所有文件

阶段2:攻击面映射

对于每个变更文件,识别并列出: 所有用户输入(请求参数、headers、body、URL组件) 所有数据库查询 所有认证/授权检查 所有会话/状态操作 所有外部调用 所有加密操作

阶段3:安全检查清单(对每个文件检查每个项目)

[ ] 注入:SQL、命令、模板、header注入 [ ] XSS:模板中的所有输出是否正确转义? [ ] 认证:所有受保护操作都有认证检查? [ ] 授权/IDOR:访问控制已验证,而不仅仅是认证? [ ] CSRF:状态变更操作是否受保护? [ ] 竞态条件:任何读后写模式中是否存在TOCTOU? [ ] 会话:固定、过期、安全标志? [ ] 加密:安全随机、正确的算法、日志中无秘密? [ ] 信息泄露:错误消息、日志、时序攻击? [ ] DoS:无限制操作、缺少速率限制、资源耗尽? [ ] 业务逻辑:边界条件、状态机冲突、数字溢出?

阶段4:验证

对于每个潜在问题: 检查它是否在变更代码的其他地方已被处理 搜索覆盖该场景的现有测试 阅读周围上下文以验证问题是真实的

阶段5:预结论审计

在最终确定之前,你必须:

  • 列出你审查的每个文件并确认已完整阅读
  • 列出每个检查清单项目并注明是否发现问题或确认干净
  • 列出你无法完全验证的任何区域及原因
  • 只有这样才能提供你的最终发现

输出格式

优先级:安全漏洞 > bug > 代码质量 跳过:样式/格式问题

对于每个问题: 文件:行号 - 简要描述 严重性:Critical/High/Medium/Low 问题:哪里错了 证据:为什么这是真实的(尚未修复,无现有测试等) 修复:具体建议 参考:OWASP、RFCs或其他标准(如果适用)

如果你没有发现重大问题,请如实说明——不要编造问题。不要做修改——只报告发现。我来决定要处理什么。

数据来源ClawHub ↗ · 中文优化:龙虾技能库