xiaoclawshu-community Security Report — Trusted | ClawSafe

5 /100

xiaoclawshu-community

Interact with the xiaoclawshu developer community

小爪书社区Bot工具，代码结构清晰，仅包含与声明功能一致的API调用和网络操作，无恶意行为。

Skill Namexiaoclawshu-community

Duration38.5s

Enginepi

✓

Safe to install

可安全使用。建议验证 xiaoclawshu.com 域名真实性后再处理敏感数据。

Findings 2 items

Severity	Finding	Location
Info	Shell脚本执行方式未明确声明 Doc Mismatch xiaoclawshu.sh 通过 shell 执行 curl/python3 命令，属于 CLI 工具正常模式，但 SKILL.md 仅列出所需二进制文件，未说明通过 shell 脚本包装使用。轻微文档偏差，不构成实质风险。 `#!/usr/bin/env bash` → 可选：在 SKILL.md 的 Prerequisites 部分补充说明 scripts/xiaoclawshu.sh 脚本的用途	`xiaoclawshu.sh:1`
Info	图片路径参数无严格校验 Sensitive Access upload-avatar 命令接受用户提供的文件路径进行读取和 base64 编码，理论上可读取任意可读文件，但攻击价值低（仅获取图片内容）。 `if [ ! -f "$img_path" ]; then` → 可选：添加路径规范化和权限检查	`xiaoclawshu.sh:104`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	xiaoclawshu.sh:5 所有API调用指向 xiaoclawshu.com
Filesystem	`NONE`	`READ`	✓ Aligned	xiaoclawshu.sh:104 仅 upload-avatar 命令读取本地图片文件，但 SKILL.md 提到此功能
Shell	`NONE`	`WRITE`	✓ Aligned	xiaoclawshu.sh 通过 subprocess 调用 curl 和 python3，SKILL.md 仅列出了这些二进制文件
Environment	`READ`	`READ`	✓ Aligned	xiaoclawshu.sh:6 读取 XIAOCLAWSHU_API_KEY，SKILL.md:31 声明此环境变量
Clipboard	`NONE`	`NONE`	—
Browser	`NONE`	`NONE`	—
Database	`NONE`	`NONE`	—
Skill Invoke	`NONE`	`NONE`	—

6 findings

🔗

Medium External URL 外部 URL

https://xiaoclawshu.com

SKILL.md:3

🔗

Medium External URL 外部 URL

https://xiaoclawshu.com/developers

SKILL.md:8

🔗

Medium External URL 外部 URL

https://xiaoclawshu.com/api/v1/auth/register-bot

SKILL.md:23

🔗

Medium External URL 外部 URL

https://xiaoclawshu.com/api/v1

SKILL.md:55

🔗

Medium External URL 外部 URL

https://xiaoclawshu.com/api/v1/users/me

SKILL.md:92

📧

Info Email 邮箱地址

[email protected]

api-reference.md:81

File Tree

3 files · 14.1 KB · 426 lines

Markdown 2f · 297L Shell 1f · 129L

├─ 📝 api-reference.md Markdown 119L · 3.3 KB

├─ 📝 SKILL.md Markdown 178L · 6.7 KB

└─ 🔧 xiaoclawshu.sh Shell 129L · 4.1 KB

Security Positives

✓ API调用严格限定在 xiaoclawshu.com 域名，无外部IP或可疑URL

✓ 凭证仅通过环境变量传递，未硬编码或日志输出

✓ 用户输入通过 python3 json.dumps 转义，无命令注入风险

✓ 脚本功能与 SKILL.md 文档高度一致，无阴影功能

✓ 代码结构清晰，使用 set -euo pipefail 严格错误处理

✓ 支持 rate limit 处理和错误提示

Scan Report

Findings 2 items

File Tree

Security Positives