中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:8 hr ago Rescan
5 /100
Adaptive Depth Research v6.0 Universal
领域无关、配置驱动的学术研究工具,支持arXiv/PubMed检索、PDF提取、三层报告生成
这是一个领域无关的学术研究工具,所有功能(检索、PDF提取、报告生成)均已在SKILL.md中声明,代码行为与文档一致,无恶意行为发现。
Skill NameAdaptive Depth Research v6.0 Universal
Duration42.6s
Enginepi
Safe to install
该技能安全可用,可直接部署使用。

Findings 2 items

Severity Finding Location
Low
PDF解析依赖无版本锁定 Supply Chain
extract-from-pdf.py 尝试导入 pdfplumber 或 pdftotext,但未指定版本要求,可能因依赖更新导致解析失败。
try:
    import pdfplumber
except ImportError:
    import pdftotext
→ 建议在代码头部添加版本约束注释,并考虑使用requirements.txt锁定版本
 scripts/extract-from-pdf.py:16
Low
synthesize.sh存在未声明的硬编码路径引用 Doc Mismatch
scripts/synthesize.sh:365 调用外部脚本使用绝对路径 /root/.openclaw/workspace/skills/...,未在SKILL.md中声明此依赖。
bash /root/.openclaw/workspace/skills/deep-research/scripts/check-sourcing.sh
→ 修改为相对路径 ./scripts/check-sourcing.sh 以提高可移植性
 scripts/synthesize.sh:365
ResourceDeclaredInferredStatusEvidence
Filesystem WRITE WRITE ✓ Aligned scripts/run-research.sh:17 mkdir命令、scripts/run-research.sh:188-220 写入报告文件
Network READ READ ✓ Aligned scripts/run-research.sh:45-47 调用arXiv API、scripts/run-research.sh:72-88 调用PubMed…
Shell WRITE WRITE ✓ Aligned 所有脚本使用bash执行,SKILL.md已声明bash触发命令
14 findings
🔗
Medium External URL 外部 URL
https://api.openalex.org
RESEARCH_PROTOCOL.md:32
🔗
Medium External URL 外部 URL
https://pubmed.ncbi.nlm.nih.gov
RESEARCH_PROTOCOL.md:33
🔗
Medium External URL 外部 URL
http://export.arxiv.org/api/query
config/research-config.yaml:30
🔗
Medium External URL 外部 URL
https://arxiv.org/pdf/
config/research-config.yaml:31
🔗
Medium External URL 外部 URL
https://www.ncbi.nlm.nih.gov/pmc/utils/oa/oa_file_list.cgi
config/research-config.yaml:36
🔗
Medium External URL 外部 URL
https://eutils.ncbi.nlm.nih.gov/entrez/eutils/esearch.fcgi
config/research-config.yaml:41
🔗
Medium External URL 外部 URL
https://arxiv.org/pdf/xxx.pdf
scripts/extract-from-pdf.py:157
🔗
Medium External URL 外部 URL
https://www.ncbi.nlm.nih.gov/pmc/articles/PMC
scripts/extract-pmc.py:17
🔗
Medium External URL 外部 URL
https://eutils.ncbi.nlm.nih.gov/entrez/eutils/efetch.fcgi?db=pubmed&id=
scripts/fetch-and-extract.sh:86
🔗
Medium External URL 外部 URL
http://www.w3.org/2005/Atom
scripts/run-research.sh:48
🔗
Medium External URL 外部 URL
https://eutils.ncbi.nlm.nih.gov/entrez/eutils
scripts/run-research.sh:76
🔗
Medium External URL 外部 URL
https://pubmed.ncbi.nlm.nih.gov/
scripts/run-research.sh:99
🔗
Medium External URL 外部 URL
https://jamanetwork.com/journals/jamanetworkopen/fullarticle/2812345
templates/source-card.md:76
🔗
Medium External URL 外部 URL
https://arxiv.org/abs/
templates/validation-checklist.md:16

File Tree

21 files · 65.3 KB · 2442 lines
Markdown 9f · 931L Shell 4f · 879L Python 3f · 465L Text 4f · 113L YAML 1f · 54L
├─ 📁 briefs
│ └─ 📝 theme-TEMPLATE.md Markdown 37L · 776 B
├─ 📁 config
│ └─ 📋 research-config.yaml YAML 54L · 1.2 KB
├─ 📁 prompts
│ ├─ 📄 cluster-cards.txt Text 27L · 672 B
│ ├─ 📄 extract-universal.txt Text 39L · 1.7 KB
│ ├─ 📄 write-brief.txt Text 24L · 1.1 KB
│ └─ 📄 write-final-report.txt Text 23L · 1.0 KB
├─ 📁 scripts
│ ├─ 🔧 check-sourcing.sh Shell 67L · 1.7 KB
│ ├─ 🐍 extract-from-pdf.py Python 202L · 5.9 KB
│ ├─ 🐍 extract-pmc.py Python 127L · 4.5 KB
│ ├─ 🔧 fetch-and-extract.sh Shell 148L · 3.7 KB
│ ├─ 🐍 quality-score.py Python 136L · 3.8 KB
│ ├─ 🔧 run-research.sh Shell 297L · 6.9 KB
│ └─ 🔧 synthesize.sh Shell 367L · 10.8 KB
├─ 📁 templates
│ ├─ 📝 executive-summary.md Markdown 29L · 674 B
│ ├─ 📝 full-report.md Markdown 75L · 1.5 KB
│ ├─ 📝 report-template.md Markdown 163L · 3.1 KB
│ ├─ 📝 source-card.md Markdown 129L · 3.6 KB
│ └─ 📝 validation-checklist.md Markdown 32L · 890 B
├─ 📝 QUALITY_CRITERIA.md Markdown 101L · 2.8 KB
├─ 📝 RESEARCH_PROTOCOL.md Markdown 161L · 4.3 KB
└─ 📝 SKILL.md Markdown 204L · 4.7 KB

Dependencies 3 items

PackageVersionSourceKnown VulnsNotes
pdfplumber * pip No 尝试导入但无版本锁定
pdftotext * pip No 备用PDF解析库,无版本锁定
requests * pip No 网络请求库,在多个脚本中使用

Security Positives

✓ 代码结构清晰,模块化设计良好
✓ 所有网络请求均为合法的学术API(arXiv、PubMed、PMC)
✓ PDF下载使用User-Agent伪装,符合网站访问规范
✓ 临时文件正确清理(os.unlink)
✓ 错误处理完善,异常分支有降级方案
✓ 无凭证收割、环境变量遍历、Base64执行等高危操作
✓ 数据外泄风险为零 - 仅在本地处理和写入
✓ 文档与代码行为高度一致,无阴影功能