中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:10 小时前 重新扫描
5 /100
xiaoclawshu-community
Interact with the xiaoclawshu developer community
小爪书社区Bot工具,代码结构清晰,仅包含与声明功能一致的API调用和网络操作,无恶意行为。
技能名称xiaoclawshu-community
分析耗时38.5s
引擎pi
可以安装
可安全使用。建议验证 xiaoclawshu.com 域名真实性后再处理敏感数据。

安全发现 2 项

严重性 安全发现 位置
提示
Shell脚本执行方式未明确声明 文档欺骗
xiaoclawshu.sh 通过 shell 执行 curl/python3 命令,属于 CLI 工具正常模式,但 SKILL.md 仅列出所需二进制文件,未说明通过 shell 脚本包装使用。轻微文档偏差,不构成实质风险。
#!/usr/bin/env bash
→ 可选:在 SKILL.md 的 Prerequisites 部分补充说明 scripts/xiaoclawshu.sh 脚本的用途
 xiaoclawshu.sh:1
提示
图片路径参数无严格校验 敏感访问
upload-avatar 命令接受用户提供的文件路径进行读取和 base64 编码,理论上可读取任意可读文件,但攻击价值低(仅获取图片内容)。
if [ ! -f "$img_path" ]; then
→ 可选:添加路径规范化和权限检查
 xiaoclawshu.sh:104
资源类型声明权限推断权限状态证据
网络访问 READ READ ✓ 一致 xiaoclawshu.sh:5 所有API调用指向 xiaoclawshu.com
文件系统 NONE READ ✓ 一致 xiaoclawshu.sh:104 仅 upload-avatar 命令读取本地图片文件,但 SKILL.md 提到此功能
命令执行 NONE WRITE ✓ 一致 xiaoclawshu.sh 通过 subprocess 调用 curl 和 python3,SKILL.md 仅列出了这些二进制文件
环境变量 READ READ ✓ 一致 xiaoclawshu.sh:6 读取 XIAOCLAWSHU_API_KEY,SKILL.md:31 声明此环境变量
剪贴板 NONE NONE
浏览器 NONE NONE
数据库 NONE NONE
技能调用 NONE NONE
6 项发现
🔗
中危 外部 URL 外部 URL
https://xiaoclawshu.com
SKILL.md:3
🔗
中危 外部 URL 外部 URL
https://xiaoclawshu.com/developers
SKILL.md:8
🔗
中危 外部 URL 外部 URL
https://xiaoclawshu.com/api/v1/auth/register-bot
SKILL.md:23
🔗
中危 外部 URL 外部 URL
https://xiaoclawshu.com/api/v1
SKILL.md:55
🔗
中危 外部 URL 外部 URL
https://xiaoclawshu.com/api/v1/users/me
SKILL.md:92
📧
提示 邮箱 邮箱地址
[email protected]
api-reference.md:81

目录结构

3 文件 · 14.1 KB · 426 行
Markdown 2f · 297L Shell 1f · 129L
├─ 📝 api-reference.md Markdown 119L · 3.3 KB
├─ 📝 SKILL.md Markdown 178L · 6.7 KB
└─ 🔧 xiaoclawshu.sh Shell 129L · 4.1 KB

安全亮点

✓ API调用严格限定在 xiaoclawshu.com 域名,无外部IP或可疑URL
✓ 凭证仅通过环境变量传递,未硬编码或日志输出
✓ 用户输入通过 python3 json.dumps 转义,无命令注入风险
✓ 脚本功能与 SKILL.md 文档高度一致,无阴影功能
✓ 代码结构清晰,使用 set -euo pipefail 严格错误处理
✓ 支持 rate limit 处理和错误提示