@yisec

Incident Triage

divergent

Incident Triage 受应急响应团队欢迎，因为它保持权限面收敛，同时提供 IOC 关联和可读笔记。最新公开版本无问题，但有一个旧版使用者安装产生了漂移并被拦截。

GradeB / 84

Latest version0.9.1

Intent match89%

Installs914

Commands

Save, share, and install

Install

Consumer-side verification runs again before install. This is the main SkillSafe-style behavior implemented in the shell.

clawsafety registry install @yisec/[email protected]

Save

Publish a versioned tree hash into the registry.

clawsafety registry save ./incident-triage --version 0.9.1

Share

默认私有。分享链接可撤销或限制为 72 小时有效。

clawsafety registry share @yisec/incident-triage --version 0.9.1 --expires 72h

Package Trust

Verification context

Tree hashab11d4017166f3009bda3a2056aee9de9dd1e71f960d8b861b7d92f7f9d4f81d

Repositoryhttps://github.com/relaxcloud-cn/clawsafety/tree/main/skill

Supported tools

Claude CodeCursorOpenClawCline

Scan Timeline

Publisher and consumer events

导入10:22:04

发布者包已导入并索引。

静态扫描10:22:12

在辅助脚本中发现两个中等信号问题。

IOC 审查10:22:18

未匹配到活跃基础设施。

使用者重放10:24:54

一次安装尝试与已发布的 tree hash 产生漂移，已拦截。

结论10:25:03

注册中心列表保持可见，附带漂移警告。

Findings

Current report

mediumCS-PRM-003

遗留辅助脚本中的环境变量枚举

一个用于历史调试的辅助脚本仍在枚举所有环境变量。

Fix: 限制为显式读取指定变量名，移除全量遍历。

lowCS-DEP-004

外部案例模板 URL 缺少校验和

事件模板从裸 GitHub URL 下载，未固定哈希值。

Fix: 添加 SHA-256 校验，或将模板内置到发布产物中。

Highlights

受限的只读工作流

IOC 富化模板

Markdown 事件笔记

控制台中可见漂移历史

Use Cases

事件首响处置

SOC 换班交接

已验证的事件笔记生成