中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:5 小时前 重新扫描
5 /100
openclaw-ghost-pay
Ghost Protocol 支付集成技能,支持 x402 请求执行和 GhostWire 流程
OpenClaw Ghost Pay 是合法的 Ghost Protocol 区块链支付集成技能,代码行为与文档声明完全一致,无恶意行为。
技能名称openclaw-ghost-pay
分析耗时39.0s
引擎pi
ClawHub Ghost Protocol OpenClaw Pay v1.5.0 by ghostprotoinfra
📥 211
ClawHub 判定 可疑 env_credential_accessvt_suspicious
可以安装
可直接使用。建议审查依赖版本锁定策略以进一步提升供应链安全性。

安全发现 1 项

严重性 安全发现 位置
低危
依赖版本未完全锁定 供应链
package.json 中 viem、x402、x402-fetch 使用 ^ 范围版本,可能引入非预期更新
"viem": "^2.21.0", "x402": "^1.1.0", "x402-fetch": "^1.1.0"
→ 建议锁定精确版本(如 viem: 2.21.0)以确保构建可复现性
 package.json:13
资源类型声明权限推断权限状态证据
文件系统 NONE READ ✓ 一致 仅读取 baseDir 路径用于脚本调用,无文件系统写入操作
网络访问 WRITE WRITE ✓ 一致 SKILL.md 声明网络调用,代码仅连接到声明的 ghostprotocol.cc API 端点
命令执行 NONE NONE 仅通过 node 执行脚本,无 shell 管道或远程脚本执行
环境变量 READ READ ✓ 一致 代码仅读取声明的环境变量(GHOST_SIGNER_PRIVATE_KEY 等),符合声明
2 项发现
🔗
中危 外部 URL 外部 URL
https://ghostprotocol.cc
INSTALL.md:47
🔗
中危 外部 URL 外部 URL
https://merchant.example.com/ask
INSTALL.md:51

目录结构

13 文件 · 47.8 KB · 1461 行
JavaScript 7f · 954L Markdown 4f · 479L JSON 2f · 28L
├─ 📁 bin
│ ├─ 📜 call-x402.mjs JavaScript 140L · 4.5 KB
│ ├─ 📜 create-wire-job-from-quote.mjs JavaScript 146L · 5.3 KB
│ ├─ 📜 get-payment-requirements.mjs JavaScript 95L · 2.5 KB
│ ├─ 📜 get-wire-job-status.mjs JavaScript 158L · 4.0 KB
│ ├─ 📜 get-wire-quote.mjs JavaScript 108L · 3.4 KB
│ ├─ 📜 report-x402-settlement.mjs JavaScript 169L · 6.0 KB
│ └─ 📜 shared.mjs JavaScript 138L · 4.0 KB
├─ 📝 INSTALL.md Markdown 113L · 3.1 KB
├─ 📋 openclaw.plugin.json JSON 8L · 171 B
├─ 📋 package.json JSON 20L · 606 B
├─ 📝 QUICKSTART.md Markdown 65L · 2.1 KB
├─ 📝 README.md Markdown 192L · 7.9 KB
└─ 📝 SKILL.md Markdown 109L · 4.2 KB

依赖分析 3 项

包名版本来源已知漏洞备注
viem ^2.21.0 npm 使用 ^ 范围版本,建议锁定
x402 ^1.1.0 npm 使用 ^ 范围版本,建议锁定
x402-fetch ^1.1.0 npm 使用 ^ 范围版本,建议锁定

安全亮点

✓ 文档与代码行为完全一致,无阴影功能
✓ 所有网络请求仅限于声明的 ghostprotocol.cc 域名
✓ 使用官方 x402-fetch 库处理支付,无自定义危险实现
✓ 私钥使用被正确限制在本地签名操作,不外传
✓ 代码结构清晰,无混淆、eval 或 base64 编码执行
✓ 错误处理完善,无未捕获异常导致的安全风险