Name: felo-livedoc 安全扫描报告 — 可信 | ClawSafe
Item: felo-livedoc
Rating: 95
Author: ClawSafe

5 /100

felo-livedoc

Felo LiveDoc API 客户端，用于管理知识库和语义检索

这是一个合法的 Felo LiveDoc API 客户端，代码行为与文档声明完全一致，无恶意行为发现。

技能名称felo-livedoc

分析耗时26.0s

引擎pi

ClawHub Felo LiveDoc v1.0.0 by wangzhiming1999

📥 250

ClawHub 判定可疑 env_credential_accessllm_suspiciouspotential_exfiltration

✓

可以安装

可直接使用。建议用户从官方 felo.ai 获取真实 API 密钥，不要使用文档中的示例密钥。

安全发现 1 项

严重性	安全发现	位置
提示	README中的示例凭证文本文档欺骗 README.md:38 包含 API_KEY="your-api-key-here" 示例占位符，这是合法的文档示例，非真实凭证收割行为。 `API_KEY="your-api-key-here"` → 这是正常文档占位符，用户需替换为真实密钥后可正常使用	`README.md:38`

资源类型	声明权限	推断权限	状态	证据
命令执行	`WRITE`	`WRITE`	✓ 一致	SKILL.md声明使用Bash执行node脚本，代码仅使用node命令无管道
文件系统	`READ`	`READ`	✓ 一致	仅在upload命令时读取用户指定的文件用于上传
网络访问	`READ`	`READ`	✓ 一致	仅与felo.ai官方API通信，无外部IP请求

1 高危 2 项发现

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your-api-key-here"

README.md:38

🔗

中危外部 URL 外部 URL

https://openapi.felo.ai

scripts/run_livedoc.mjs:6

目录结构

4 文件 · 23.9 KB · 636 行

JavaScript 1f · 391L Markdown 2f · 233L JSON 1f · 12L

├─ ▾ 📁 scripts

│ └─ 📜 run_livedoc.mjs JavaScript 391L · 16.7 KB

├─ 📋 clawhub.json JSON 12L · 730 B

├─ 📝 README.md Markdown 53L · 1.1 KB

└─ 📝 SKILL.md Markdown 180L · 5.4 KB

包名	版本	来源	已知漏洞	备注
`Node.js标准库`	`内置`	builtin	否	仅使用fs/promises、path、fetch等内置模块

✓ 代码结构清晰，职责单一（纯API客户端）

✓ 文档与代码行为完全一致，无阴影功能

✓ 仅使用标准Node.js内置模块，无外部依赖风险

✓ 实现了请求重试和超时机制

✓ 所有网络请求仅指向官方API端点 https://openapi.felo.ai

✓ 文件上传仅读取用户明确指定的路径

✓ 无shell管道、eval、base64解码等危险操作

✓ 无环境变量遍历或敏感路径访问