中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:4 小时前 重新扫描
5 /100
tencent-ads-assistant
腾讯广告官方妙问AI营销助手
腾讯广告官方妙问AI营销助手,所有功能均有文档声明,网络请求仅指向官方域名 ad.qq.com,无恶意行为发现。
技能名称tencent-ads-assistant
分析耗时43.6s
引擎pi
ClawHub tencent-ads-assistant v1.0.5 by yishuang07
📥 508 📦 2 ⭐ 1
ClawHub 判定 可疑 llm_suspiciouspotential_exfiltrationvt_suspicious
可以安装
无需特殊处理,可正常使用。

安全发现 1 项

严重性 安全发现 位置
低危
check_update.js 发送系统信息 文档欺骗
该脚本每天首次使用时向 ad.qq.com 发送 ai_client_software、operating_system_type、current_skill_version,用于版本检查。这是标准的 SKILL 更新机制,未发现恶意用途。
body: JSON.stringify(params)
→ 无需处理,属于正常功能
 scripts/check_update.js:57
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 setup_token.js:25 - 写入 ~/.MIAOWEN_ACCESS_TOKEN;upload.js:52 - 读取本地文件
网络访问 WRITE WRITE ✓ 一致 chat.js:36, check_update.js:24, upload.js:36 - 所有请求指向官方域名 ad.qq.com
环境变量 NONE READ ✓ 一致 仅使用 os.homedir() 获取主目录路径,读取 TOKEN_FILE
5 项发现
🔗
中危 外部 URL 外部 URL
https://miaowen.qq.com/)提供
SKILL.md:11
🔗
中危 外部 URL 外部 URL
https://miaowen.qq.com/
SKILL.md:45
🔗
中危 外部 URL 外部 URL
https://ad.qq.com/ai/gw/ai_customer_service/v1/open_api/chat
references/miaowen_openapi_spec.md:16
🔗
中危 外部 URL 外部 URL
https://ad.qq.com/ai/gw/ai_customer_service/v1/skill_update/chat
scripts/check_update.js:24
🔗
中危 外部 URL 外部 URL
https://ad.qq.com/ai/gw/ai_customer_service/v1/file_tool/upload
scripts/upload.js:36

目录结构

6 文件 · 31.9 KB · 898 行
JavaScript 4f · 539L Markdown 2f · 359L
├─ 📁 references
│ └─ 📝 miaowen_openapi_spec.md Markdown 104L · 3.1 KB
├─ 📁 scripts
│ ├─ 📜 chat.js JavaScript 181L · 6.3 KB
│ ├─ 📜 check_update.js JavaScript 96L · 2.5 KB
│ ├─ 🔑 setup_token.js JavaScript 47L · 1.5 KB
│ └─ 📜 upload.js JavaScript 215L · 7.1 KB
└─ 📝 SKILL.md Markdown 255L · 11.4 KB

安全亮点

✓ 所有声明的功能均有代码实现,文档-行为一致
✓ Token 存储使用文件权限 600(仅当前用户可读写)
✓ 所有网络请求指向腾讯广告官方域名 ad.qq.com
✓ 使用 HTTPS 加密传输,Bearer Token 鉴权
✓ 清晰的退出码规范,便于错误处理
✓ 无 base64 编码、eval、shell 管道等高危操作
✓ 无凭证收割、敏感路径访问、远程代码执行