中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 5/100
Last scan:3 hr ago Rescan
5 /100
felo-livedoc
Felo LiveDoc API 客户端,用于管理知识库和语义检索
这是一个合法的 Felo LiveDoc API 客户端,代码行为与文档声明完全一致,无恶意行为发现。
Skill Namefelo-livedoc
Duration26.0s
Enginepi
ClawHub Felo LiveDoc v1.0.0 by wangzhiming1999
📥 250
ClawHub Verdict Suspicious env_credential_accessllm_suspiciouspotential_exfiltration
Safe to install
可直接使用。建议用户从官方 felo.ai 获取真实 API 密钥,不要使用文档中的示例密钥。

Findings 1 items

Severity Finding Location
Info
README中的示例凭证文本 Doc Mismatch
README.md:38 包含 API_KEY="your-api-key-here" 示例占位符,这是合法的文档示例,非真实凭证收割行为。
API_KEY="your-api-key-here"
→ 这是正常文档占位符,用户需替换为真实密钥后可正常使用
 README.md:38
ResourceDeclaredInferredStatusEvidence
Shell WRITE WRITE ✓ Aligned SKILL.md声明使用Bash执行node脚本,代码仅使用node命令无管道
Filesystem READ READ ✓ Aligned 仅在upload命令时读取用户指定的文件用于上传
Network READ READ ✓ Aligned 仅与felo.ai官方API通信,无外部IP请求
1 High 2 findings
🔑
High API Key 疑似硬编码凭证
API_KEY="your-api-key-here"
README.md:38
🔗
Medium External URL 外部 URL
https://openapi.felo.ai
scripts/run_livedoc.mjs:6

File Tree

4 files · 23.9 KB · 636 lines
JavaScript 1f · 391L Markdown 2f · 233L JSON 1f · 12L
├─ 📁 scripts
│ └─ 📜 run_livedoc.mjs JavaScript 391L · 16.7 KB
├─ 📋 clawhub.json JSON 12L · 730 B
├─ 📝 README.md Markdown 53L · 1.1 KB
└─ 📝 SKILL.md Markdown 180L · 5.4 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
Node.js标准库 内置 builtin No 仅使用fs/promises、path、fetch等内置模块

Security Positives

✓ 代码结构清晰,职责单一(纯API客户端)
✓ 文档与代码行为完全一致,无阴影功能
✓ 仅使用标准Node.js内置模块,无外部依赖风险
✓ 实现了请求重试和超时机制
✓ 所有网络请求仅指向官方API端点 https://openapi.felo.ai
✓ 文件上传仅读取用户明确指定的路径
✓ 无shell管道、eval、base64解码等危险操作
✓ 无环境变量遍历或敏感路径访问