扫描报告
5 /100
minimax-usage-monitor
MiniMax Token Plan 用量查询与监控工具,支持单次查询、cron定时监控、多通道通知
MiniMax 用量监控工具,功能清晰透明,仅用于查询和通知,无恶意行为
可以安装
可安全使用
安全发现 3 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 提示 | 预扫描IP标记为误报 | scripts/get_usage.js:43 |
| 提示 | 凭证使用透明 | scripts/notify_usage.js:17 |
| 提示 | 通知目标受控 | scripts/notify_usage.js:110 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 网络访问 | WRITE | WRITE | ✓ 一致 | SKILL.md中声明通知功能,代码实现为HTTP POST到配置的Webhook |
| 命令执行 | NONE | NONE | — | 代码仅通过Node.js执行,无bash/subprocess调用 |
| 文件系统 | READ | READ | ✓ 一致 | 仅读取.env配置文件和日志追加,无越权访问 |
1 高危 9 项发现
高危 IP 地址 硬编码 IP 地址
120.0.0.0 scripts/get_usage.js:43 中危 外部 URL 外部 URL
https://discord.com/api/webhooks/... SKILL.md:59 中危 外部 URL 外部 URL
https://npmmirror.com/mirrors references/setup.en.md:35 中危 外部 URL 外部 URL
https://discord.com/api/webhooks/xxxxx/yyyyy references/setup.en.md:102 中危 外部 URL 外部 URL
https://api.telegram.org/bot references/setup.en.md:108 中危 外部 URL 外部 URL
https://platform.minimaxi.com/login references/troubleshooting.md:19 中危 外部 URL 外部 URL
https://platform.minimaxi.com/user-center/payment/token-plan references/troubleshooting.md:113 中危 外部 URL 外部 URL
https://discord.com scripts/notify_usage.js:221 中危 外部 URL 外部 URL
https://api.telegram.org/bot$ scripts/notify_usage.js:233 目录结构
10 文件 · 48.5 KB · 1579 行 Markdown 6f · 1042L
JavaScript 2f · 514L
JSON 2f · 23L
├─
▾
references
│ ├─
cron-guide.en.md
Markdown
│ ├─
cron-guide.zh.md
Markdown
│ ├─
setup.en.md
Markdown
│ ├─
setup.zh.md
Markdown
│ └─
troubleshooting.md
Markdown
├─
▾
scripts
│ ├─
get_usage.js
JavaScript
│ ├─
notify_usage.js
JavaScript
│ └─
package.json
JSON
├─
_meta.json
JSON
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
playwright | ^1.40.0 | npm | 否 | 版本已锁定 |
安全亮点
✓ 代码结构清晰,注释完整
✓ 凭证使用有安全说明(.clawhubignore排除.env)
✓ 无敏感路径访问(~/.ssh、~/.aws等)
✓ 无base64/eval/动态代码执行
✓ 无远程脚本下载或shell管道
✓ 依赖playwright^1.40.0版本锁定
✓ 通知功能仅发送至用户配置的端点