lowCS-CFG-004
示例 fixture 中存在提示词覆盖字符串
一个 fixture 文件仍包含用于回归测试的转义覆盖字符串。该规则在生产路径中已正确抑制。
Fix: 保持 fixture 隔离并记录在文档中。不阻断安装。
@clawsafe
Repo Audit
Repo Audit 将 ClawSafety 的静态规则与注册中心感知的安装流程结合。发布者保存并分享签名版本,使用者在安装前复验同一载荷。结果的阅读体验类似 VirusTotal,但行为上是有准入控制的分发通道。
GradeA / 96
Latest version1.4.2
Intent match98%
Installs1,880
Commands
Save, share, and install
Install
Consumer-side verification runs again before install. This is the main SkillSafe-style behavior implemented in the shell.
clawsafety registry install @clawsafe/[email protected]Save
Publish a versioned tree hash into the registry.
clawsafety registry save ./repo-audit --version 1.4.2Share
公开分享链接,30 天缓存,使用者侧复验。
clawsafety registry share @clawsafe/repo-audit --version 1.4.2Package Trust
Verification context
Tree hash
c5a4d7137b5a10d2f5e6f7bc108d30becc54e12761fe8d9a2c51beed9f742101Repository
https://github.com/relaxcloud-cn/clawsafetySupported tools
Scan Timeline
Publisher and consumer events
从发布者保存流程导入仓库。
对 markdown、shell 和配置文件执行 20 条规则。
在活跃恶意 IP 和域名情报源中未匹配。
发布者哈希已存储,供使用者侧验证。
使用者重放与发布者字节完全匹配。
Findings
Current report
lowCS-DEP-002
一个可选示例依赖使用了版本范围
仅文档中的示例引用了 semver 范围,用于演示目的。
Fix: 固定示例版本,或标注该代码片段为有意的示范。
Highlights
20 条确定性规则
IOC 情报源关联
逐条发现的修复建议
带版本的分享链接
Use Cases
安装前审查第三方技能
为内部团队设定最低评级要求
通过分享链接发布已验证技能