中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:9 hr ago Rescan
5 /100
kaogong-study-tracker
朱批录 · 国考备考追踪 Skill,识别错题截图→分类→更新本地记录→生成每日总结→导出Excel/同步飞书
这是一款合法的国考备考追踪工具,所有代码行为与 SKILL.md 声明一致,无恶意活动发现。pre-scan 标记的 base64 解码均为图片处理的正常用途。
Skill Namekaogong-study-tracker
Duration44.2s
Enginepi
Safe to install
可直接安装使用。唯一改进点:package.json 依赖 xlsx 声明了 ^ 范围,建议锁定小版本以避免供应链风险。

Findings 1 items

Severity Finding Location
Low
依赖未锁定小版本 Supply Chain
package.json 中 xlsx 版本声明为 ^0.18.5,未锁定具体版本。攻击者若发布恶意补丁版本可能影响下游。
"xlsx": "^0.18.5"
→ 建议改为 "xlsx": "0.18.5" 锁定版本,或使用 npm audit 定期扫描已知漏洞
 package.json:20
ResourceDeclaredInferredStatusEvidence
Filesystem READ+WRITE READ+WRITE ✓ Aligned SKILL.md 声明数据读写,代码读写 ~/.openclaw/skills/kaogong-study-tracker/data/
Network READ (多模态调用) + WRITE (飞书同步,用户主动触发) READ+WRITE ✓ Aligned feishu_doc.js:36,63,159 明确声明且用户主动触发同步
Shell WRITE (Python 脚本执行) WRITE ✓ Aligned export_xlsx.js:11-20 生成临时 Python 脚本调用 openpyxl,SKILL.md 第五节明确说明
Environment NONE READ ✓ Aligned 仅读取 process.env.HOME 确定数据目录,无凭证收割
3 Critical 13 findings
🔒
Critical Encoded Execution Base64 编码执行(代码混淆)
Buffer.from(q.raw_image_b64, 'base64'
scripts/export_xlsx.js:203
🔒
Critical Encoded Execution Base64 编码执行(代码混淆)
Buffer.from(imageBase64, 'base64'
scripts/feishu_doc.js:52
🔒
Critical Encoded Execution Base64 编码执行(代码混淆)
Buffer.from(base64, 'base64'
scripts/parse_input.js:213
🔗
Medium External URL 外部 URL
https://openclaw.ai
README.md:3
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/OpenClaw-Skill-orange
README.md:6
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/License-MIT-blue.svg
README.md:7
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/node-%3E%3D18-green
README.md:8
🔗
Medium External URL 外部 URL
https://nodejs.org
README.md:8
🔗
Medium External URL 外部 URL
https://docs.openclaw.ai/channels/feishu
assets/workspace-example.yaml:10
🔗
Medium External URL 外部 URL
https://pypi.tuna.tsinghua.edu.cn/simple
package.json:27
🔗
Medium External URL 外部 URL
https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal
scripts/feishu_doc.js:36
🔗
Medium External URL 外部 URL
https://open.feishu.cn/open-apis/im/v1/images
scripts/feishu_doc.js:63
🔗
Medium External URL 外部 URL
https://open.feishu.cn/open-apis/docx/v1/documents/$
scripts/feishu_doc.js:159

File Tree

16 files · 82.5 KB · 2331 lines
JavaScript 7f · 1468L Markdown 4f · 590L Python 1f · 163L YAML 1f · 53L JSON 2f · 50L Ignore 1f · 7L
├─ 📁 assets
│ ├─ 📋 module_map.json JSON 22L · 1.2 KB
│ └─ 📋 workspace-example.yaml YAML 53L · 1.4 KB
├─ 📁 references
│ ├─ 📝 reply_templates.md Markdown 78L · 2.0 KB
│ └─ 📝 tone_guide.md Markdown 54L · 2.0 KB
├─ 📁 scripts
│ ├─ 📜 daily_summary.js JavaScript 94L · 3.0 KB
│ ├─ 📜 export_xlsx.js JavaScript 273L · 11.4 KB
│ ├─ 📜 feishu_doc.js JavaScript 248L · 8.5 KB
│ ├─ 🐍 ocr_image.py Python 163L · 5.6 KB
│ ├─ 📜 onboarding.js JavaScript 38L · 1003 B
│ ├─ 📜 parse_input.js JavaScript 401L · 16.1 KB
│ ├─ 📜 review_reminder.js JavaScript 199L · 7.1 KB
│ └─ 📜 update_daily.js JavaScript 215L · 6.3 KB
├─ 📄 .gitignore Ignore 7L · 60 B
├─ 📋 package.json JSON 28L · 738 B
├─ 📝 README.md Markdown 242L · 7.7 KB
└─ 📝 SKILL.md Markdown 216L · 8.6 KB

Dependencies 2 items

PackageVersionSourceKnown VulnsNotes
xlsx ^0.18.5 npm No 无版本锁定,轻微供应链风险
sharp optional npm No 可选依赖,未安装时跳过图片压缩

Security Positives

✓ 所有文件操作均在声明的 data/ 目录内,无越权访问
✓ 网络请求仅限用户主动触发的飞书同步(feishu_doc),声明明确
✓ Base64 解码仅用于图片处理(raw_image_b64 → 临时文件),用途合理,非代码混淆
✓ 临时文件和脚本执行后均正确清理(finally 块 unlink)
✓ 敏感配置(飞书 app_id/secret)需用户手动填写 config.json,无自动凭证发现
✓ 代码结构清晰,无隐藏的 C2 通信、反向 shell 或数据外泄
✓ pre-scan IOC 中的 base64 误报为低风险:均为正常图片 base64→Buffer 解码用于存储/上传