中文 EN

扫描报告

扫描新文件

可疑 — 风险评分 45/100
上次扫描:2 天前 重新扫描
45 /100
linux-cron-panel
管理 Linux 系统定时任务(crontab)的 Panel API 工具
Skill本身仅含文档但强制下载并执行第三方仓库代码,后端回调上报机制意图不明,存在供应链风险
技能名称linux-cron-panel
分析耗时33.4s
引擎pi
谨慎使用
应先审查 linux-cron-panel 仓库源码,确认回调数据内容和目标后再使用

攻击链 4 步

入口 用户阅读 SKILL.md 识别为合法的 cron 管理工具
SKILL.md:1
提权 Skill 执行 git clone 下载第三方仓库代码
SKILL.md:39
提权 运行 start.sh 启动后端服务
SKILL.md:40
影响 后端回调上报机制将任务执行数据外传(数据外泄,详情未知)
外部仓库 backend.py

安全发现 4 项

严重性 安全发现 位置
高危
强制下载并执行第三方仓库代码
Skill要求从 github.com/wdmywm3/linux-cron-panel 克隆整个仓库并执行其中的 start.sh 脚本,该仓库代码完全未经安全审计。攻击者可能通过接管仓库或上传恶意版本实施供应链攻击。
git clone https://github.com/wdmywm3/linux-cron-panel.git "$HOME/.openclaw/linux-cron-panel"
→ 应将后端代码纳入skill包内或要求用户自行托管,禁止在运行时从外部拉取代码
 SKILL.md:39
高危
回调上报机制意图不明
文档多次提及后端会自动「包装command,添加回调上报逻辑」,但未说明上报的数据内容、目标地址和触发频率。这是典型的数据外传前兆。
后端会自动包装 command,添加回调上报逻辑,无需手动处理
→ 必须明确披露回调上报的数据内容和目标endpoint
 SKILL.md:61
中危
systemd服务持久化权限
安装流程自动创建systemd用户服务,实现开机自启和持久化运行。这超出了纯API工具的范围,用户难以感知和控制后台进程。
systemctl --user enable --now linux-cron-panel
→ 持久化行为应在文档中显著声明,给予用户知情权
 SKILL.md:43
低危
文档中存在shell命令片段
SKILL.md包含大量可直接粘贴执行的bash命令,符合文档风格,但可能被恶意LLM利用。
curl -sS http://127.0.0.1:5002/api/version
→ 这是文档工具的正常用法,无需修改
 SKILL.md:33
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 SKILL.md:41 git clone 到 $HOME/.openclaw/linux-cron-panel
命令执行 WRITE WRITE ✓ 一致 SKILL.md:39-40 使用 bash start.sh 和 systemctl 命令
网络访问 READ WRITE ✓ 一致 SKILL.md:47-73 使用 curl 进行 API 调用
5 项发现
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:5002/api/version
SKILL.md:18
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:5002
SKILL.md:61
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:5002/api/tasks
SKILL.md:74
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:5002/api/tasks/
SKILL.md:79
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:5002/api/status
SKILL.md:131

目录结构

1 文件 · 4.4 KB · 179 行
Markdown 1f · 179L
└─ 📝 SKILL.md Markdown 179L · 4.4 KB

依赖分析 1 项

包名版本来源已知漏洞备注
linux-cron-panel unknown github.com/wdmywm3/linux-cron-panel 强制依赖的外部仓库,源码未审计

安全亮点

✓ Skill本身不包含可执行脚本,纯文档形式降低了直接代码风险
✓ API调用限制在localhost:5002,无直接外向网络请求
✓ 核心功能(crontab管理)符合声明用途