tesla-cn Security Report — Suspicious | ClawSafe

45 /100

tesla-cn

面向中国特斯拉车主的远程控制技能，基于特斯拉官方车队 API（Fleet API）实现

Tesla CN 技能将用户 API Key 和所有车辆控制指令通过第三方代理 tesla.dhuar.com 转发，用户凭证及车辆数据完全暴露给未知第三方运营者，构成数据主权风险。

Skill Nametesla-cn

Duration59.9s

Enginepi

⚠

Use with caution

用户应确认 tesla.dhuar.com 的可信度；若非可信来源，不建议在真实车辆上使用此技能。建议 Tesla 官方提供直接 API 访问方案，避免中间人风险。

Findings 4 items

Severity	Finding	Location
Medium	所有 API 流量经第三方代理中转 Data Exfil Tesla Fleet API 调用不直连 Tesla 官方服务器，而是经由第三方代理 tesla.dhuar.com。运营者可获取用户 API Key、车辆 VIN、GPS 位置、电池状态等全部敏感数据，以及所有控制指令的执行权。SKILL.md 第 16 行虽提及该 URL，但未明确告知用户其凭证和数据将完全流经他人服务器的数据主权风险。 `const PROXY_URL = "https://tesla.dhuar.com";` → 在 SKILL.md 显著位置添加警告：所有请求经第三方代理，用户需自行评估运营方可信度。建议改为直连 Tesla 官方 API。	`scripts/tesla-command.js:20`
Medium	API Key 通过 URL Query 参数明文传输 Sensitive Access API Key 作为 URL query 参数 `apiKey=...` 发送，会被记录在服务器日志、CDN 日志、浏览器历史、代理日志等多个位置，增加泄露风险。 const fullUrl = `${PROXY_URL}${path}${separator}apiKey=${encodeURIComponent(apiKey)}`; → 改用 Authorization Header 或 Bearer Token 方式传递 API Key，避免日志记录。	`scripts/tesla-command.js:157`
Low	SKILL.md 声明宽泛，权限和能力未完整列出 Doc Mismatch SKILL.md 未声明任何 filesystem/network/shell 权限，代码实际使用了 fs 模块（读配置）和 fetch（网络请求），与声明不符。 `面向中国特斯拉车主的远程控制技能` → 在 SKILL.md 中明确声明所需权限：filesystem:READ/WRITE（读配置）、network:READ（调用 API）。	`SKILL.md:1`
Low	依赖第三方非官方 Tesla API 代理 Supply Chain 技能依赖 tesla.dhuar.com 而非 Tesla 官方域名 (owner-api.teslamotors.com)，属于第三方中间人服务。若该服务关停、篡改或收集数据，用户无法感知。 `const PROXY_URL = "https://tesla.dhuar.com";` → 评估代理服务提供商的背景和隐私政策；优先使用官方 Tesla API。	`scripts/tesla-command.js:20`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`READ`	✓ Aligned	scripts/tesla-command.js:126 读取 ~/.tesla_cn.json
Filesystem	`NONE`	`WRITE`	✓ Aligned	scripts/init-tesla-config.js:72 写入 ~/.tesla_cn.json
Network	`NONE`	`READ`	✓ Aligned	scripts/tesla-command.js:158 使用 fetch 发送 HTTPS 请求

1 findings

🔗

Medium External URL 外部 URL

https://tesla.dhuar.com

SKILL.md:16

File Tree

3 files · 15.2 KB · 581 lines

JavaScript 2f · 401L Markdown 1f · 180L

├─ ▾ 📁 scripts

│ ├─ 📜 init-tesla-config.js JavaScript 99L · 2.2 KB

│ └─ 📜 tesla-command.js JavaScript 302L · 7.5 KB

└─ 📝 SKILL.md Markdown 180L · 5.6 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`node-fetch`	`built-in (Node.js 18+)`	builtin	No	使用 Node.js 18+ 内置 fetch，无额外第三方依赖

Security Positives

✓ 代码结构清晰，无混淆、无 base64、无 eval，静态分析未发现恶意代码

✓ 未发现凭证收割、环境变量遍历或远程代码执行行为

✓ API Key 存储在用户本地 ~/.tesla_cn.json，非全局可读

✓ 命令参数有基本校验，错误处理完善

✓ 未使用第三方 pip/npm 依赖，纯 Node.js 内置 API（fetch 仅 Node 18+ 内置）

✓ init-tesla-config.js 对 apiKey 做了 trim 和非空校验

Scan Report

Findings 4 items

File Tree

Dependencies 1 items

Security Positives