Name: github-bounty-finder Security Report — Trusted | ClawSafe
Item: github-bounty-finder
Rating: 95
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

5 /100

github-bounty-finder

扫描 GitHub Issues 和 Algora 赏金平台，自动化竞争分析和机会评分

GitHub Bounty Finder 是一个合法的赏金扫描工具，声明功能与实际行为完全一致，无恶意行为、无阴影功能、依赖安全。

Skill Namegithub-bounty-finder

Duration43.8s

Enginepi

ClawHub Github Bounty Finder v1.0.1 by lvjunjie-byte

📥 162 📦 1

ClawHub Verdict Suspicious env_credential_accessllm_suspicious

✓

Safe to install

该技能可安全使用。无需额外限制。

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	src/scanner.js:46 axios.get GitHub API, src/scanner.js:64 Algora API
Filesystem	`WRITE`	`WRITE`	✓ Aligned	bin/cli.js:73 fs.writeFileSync 保存 JSON 结果
Environment	`READ`	`READ`	✓ Aligned	bin/cli.js:13 dotenv.config, scanner.js:16-17 读取 GITHUB_TOKEN/ALGORA_API_KEY
Shell	`NONE`	`NONE`	—	无 shell 执行代码
Skill Invoke	`NONE`	`NONE`	—	无外部技能调用
Clipboard	`NONE`	`NONE`	—	无剪贴板访问
Browser	`NONE`	`NONE`	—	无浏览器自动化
Database	`NONE`	`NONE`	—	无数据库操作

6 findings

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/version-1.0.0-blue.svg

README.md:5

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/license-MIT-green.svg

README.md:6

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/node-%3E%3D18.0.0-brightgreen.svg

README.md:7

🔗

Medium External URL 外部 URL

https://algora.io/settings/api

README.md:79

🔗

Medium External URL 外部 URL

https://api.algora.io/v1/bounties

src/scanner.js:64

📧

Info Email 邮箱地址

[email protected]

README.md:248

File Tree

6 files · 28.0 KB · 1056 lines

Markdown 2f · 468L JavaScript 2f · 451L JSON 2f · 137L

├─ ▾ 📁 bin

│ └─ 📜 cli.js JavaScript 172L · 6.5 KB

├─ ▾ 📁 src

│ └─ 📜 scanner.js JavaScript 279L · 7.8 KB

├─ 📋 clawhub.json JSON 103L · 2.5 KB

├─ 📋 package.json JSON 34L · 745 B

├─ 📝 README.md Markdown 263L · 6.1 KB

└─ 📝 SKILL.md Markdown 205L · 4.4 KB

Dependencies 5 items

Package	Version	Source	Known Vulns	Notes
`axios`	`^1.6.0`	npm	No	版本锁定，HTTP 客户端库
`chalk`	`^4.1.2`	npm	No	版本锁定，终端颜色输出
`commander`	`^11.1.0`	npm	No	版本锁定，CLI 框架
`dotenv`	`^16.3.1`	npm	No	版本锁定，环境变量加载
`node-fetch`	`^2.7.0`	npm	No	版本锁定，未实际使用（代码使用 axios）

Security Positives

✓ 声明功能与实际代码完全一致，无阴影功能

✓ 凭证(GITHUB_TOKEN/ALGORA_API_KEY)仅用于官方 API 认证，无外传

✓ 使用版本锁定的稳定依赖（axios^1.6.0, chalk^4.1.2, commander^11.1.0）

✓ 代码结构清晰，使用标准 axios 库进行 HTTP 请求

✓ 文件系统写入仅用于保存用户请求的 JSON 结果

✓ 无代码混淆、无 base64 编码、无 eval 调用

✓ 无 subprocess/shell 远程执行

✓ 无环境变量遍历或敏感路径访问

Scan Report

File Tree

Dependencies 5 items

Security Positives