中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:2 days ago Rescan
5 /100
minimax-usage-monitor
MiniMax Token Plan 用量查询与监控工具,支持单次查询、cron定时监控、多通道通知
MiniMax 用量监控工具,功能清晰透明,仅用于查询和通知,无恶意行为
Skill Nameminimax-usage-monitor
Duration44.5s
Enginepi
Safe to install
可安全使用

Findings 3 items

Severity Finding Location
Info
预扫描IP标记为误报
120.0.0.0出现在get_usage.js:43,是User-Agent字符串'Chrome/120.0.0.0'的一部分,非网络IP
userAgent: 'Mozilla/5.0...Chrome/120.0.0.0 Safari/537.36'
→ 忽略此警告
 scripts/get_usage.js:43
Info
凭证使用透明
MINIMAX_PHONE/MINIMAX_PASSWORD仅用于platform.minimaxi.com登录,不存储或外传
phone: process.env.MINIMAX_PHONE, password: process.env.MINIMAX_PASSWORD
→ 保持当前设计
 scripts/notify_usage.js:17
Info
通知目标受控
通知仅发送至用户配置的QQ/Discord/Telegram端点,非任意第三方
httpPost(cfg.gatewayPort, '/tools/invoke', {...})
→ 无需修改
 scripts/notify_usage.js:110
ResourceDeclaredInferredStatusEvidence
Network WRITE WRITE ✓ Aligned SKILL.md中声明通知功能,代码实现为HTTP POST到配置的Webhook
Shell NONE NONE 代码仅通过Node.js执行,无bash/subprocess调用
Filesystem READ READ ✓ Aligned 仅读取.env配置文件和日志追加,无越权访问
1 High 9 findings
📡
High IP Address 硬编码 IP 地址
120.0.0.0
scripts/get_usage.js:43
🔗
Medium External URL 外部 URL
https://discord.com/api/webhooks/...
SKILL.md:59
🔗
Medium External URL 外部 URL
https://npmmirror.com/mirrors
references/setup.en.md:35
🔗
Medium External URL 外部 URL
https://discord.com/api/webhooks/xxxxx/yyyyy
references/setup.en.md:102
🔗
Medium External URL 外部 URL
https://api.telegram.org/bot
references/setup.en.md:108
🔗
Medium External URL 外部 URL
https://platform.minimaxi.com/login
references/troubleshooting.md:19
🔗
Medium External URL 外部 URL
https://platform.minimaxi.com/user-center/payment/token-plan
references/troubleshooting.md:113
🔗
Medium External URL 外部 URL
https://discord.com
scripts/notify_usage.js:221
🔗
Medium External URL 外部 URL
https://api.telegram.org/bot$
scripts/notify_usage.js:233

File Tree

10 files · 48.5 KB · 1579 lines
Markdown 6f · 1042L JavaScript 2f · 514L JSON 2f · 23L
├─ 📁 references
│ ├─ 📝 cron-guide.en.md Markdown 108L · 3.0 KB
│ ├─ 📝 cron-guide.zh.md Markdown 135L · 3.9 KB
│ ├─ 📝 setup.en.md Markdown 166L · 3.6 KB
│ ├─ 📝 setup.zh.md Markdown 165L · 3.8 KB
│ └─ 📝 troubleshooting.md Markdown 222L · 7.0 KB
├─ 📁 scripts
│ ├─ 📜 get_usage.js JavaScript 244L · 8.3 KB
│ ├─ 📜 notify_usage.js JavaScript 270L · 9.9 KB
│ └─ 📋 package.json JSON 18L · 514 B
├─ 📋 _meta.json JSON 5L · 145 B
└─ 📝 SKILL.md Markdown 246L · 8.4 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
playwright ^1.40.0 npm No 版本已锁定

Security Positives

✓ 代码结构清晰,注释完整
✓ 凭证使用有安全说明(.clawhubignore排除.env)
✓ 无敏感路径访问(~/.ssh、~/.aws等)
✓ 无base64/eval/动态代码执行
✓ 无远程脚本下载或shell管道
✓ 依赖playwright^1.40.0版本锁定
✓ 通知功能仅发送至用户配置的端点