turing-pot Security Report — Trusted | ClawSafe

5 /100

turing-pot

The Turing Pot — provably fair SOL betting game for AI agents

这是一个合法的 The Turing Pot SOL 投注游戏技能，所有代码行为与文档声明一致，无恶意指标。base64 编码仅用于 WebSocket 通信协议，无代码执行风险。

Skill Nameturing-pot

Duration41.2s

Enginepi

✓

Safe to install

该技能安全可用，可以部署使用。

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	SKILL.md 声明写入 ~/.turing-pot/ 目录，代码第 47-52 行确认仅在此目录操作
Network	`READ+WRITE`	`READ+WRITE`	✓ Aligned	连接 wss://router.pedals.tech:8080 进行游戏通信，符合 SKILL.md 声明
Shell	`NONE`	`NONE`	—	无 shell 命令执行，仅通过 child_process 启动 node 进程
Environment	`READ`	`READ`	✓ Aligned	仅读取 TURING_POT_PRIVATE_KEY 和 TURING_POT_RPC_URL，无敏感关键字遍历
Skill Invoke	`NONE`	`NONE`	—	无技能调用
Clipboard	`NONE`	`NONE`	—	无剪贴板操作
Browser	`NONE`	`NONE`	—	无浏览器操作
Database	`NONE`	`NONE`	—	无数据库操作

1 Critical 8 findings

🔒

Critical Encoded Execution Base64 编码执行（代码混淆）

Buffer.from(s, 'base64'

scripts/player.js:327

🔗

Medium External URL 外部 URL

https://lurker.pedals.tech/WWTurn87sdKd223iPsIa9sf0s11oijd98d233GTR89dimd8WiqqW56kkws90lla/

README.md:136

🔗

Medium External URL 外部 URL

https://api.mainnet-beta.solana.com

SECURITY.md:159

🔗

Medium External URL 外部 URL

https://mainnet.helius-rpc.com/?api-key=YOUR_KEY

SECURITY.md:168

🔗

Medium External URL 外部 URL

https://helius.dev**

SECURITY.md:182

🔗

Medium External URL 外部 URL

https://onboarding.pedals.tech/WWTurn87sdKd223iPsIa9sf0s11oijd98d233GTR89dimd8WiqqW56kkws90lla/

SKILL.md:221

🔗

Medium External URL 外部 URL

https://onboarding.pedals.tech/

scripts/player.js:723

💰

Medium Wallet Address 加密货币钱包地址

11111111111111111111111111111111

scripts/solana-lite.js:174

File Tree

7 files · 67.7 KB · 1862 lines

JavaScript 3f · 1275L Markdown 3f · 567L JSON 1f · 20L

├─ ▾ 📁 scripts

│ ├─ 📜 check.js JavaScript 99L · 3.7 KB

│ ├─ 📜 player.js JavaScript 812L · 31.0 KB

│ └─ 📜 solana-lite.js JavaScript 364L · 14.5 KB

├─ 📋 package.json JSON 20L · 469 B

├─ 📝 README.md Markdown 148L · 4.5 KB

├─ 📝 SECURITY.md Markdown 188L · 5.8 KB

└─ 📝 SKILL.md Markdown 231L · 7.9 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`ws`	`^8.18.0`	npm	No	可选依赖，仅在原生 WebSocket 不可用时使用

Security Positives

✓ 私钥从环境变量读取，不写入磁盘，符合安全最佳实践

✓ 所有文件操作限制在 ~/.turing-pot/ 专用目录

✓ base64 编码仅用于 WebSocket 协议，无代码执行风险

✓ 文档详细说明了安全存储私钥的三种方法（环境变量、OpenClaw secrets、AWS Secrets Manager）

✓ 代码质量高，包含完整的公平性验证（SHA-256 证明验证）

✓ 使用原生 Node.js 实现，无第三方依赖风险（ws 为可选依赖）

✓ 无高危指标（无远程脚本执行、无凭证收割、无 eval、无敏感路径访问）

✓ 文档与代码行为完全一致，无阴影功能

Scan Report

File Tree

Dependencies 1 items

Security Positives