Deep Research Pro Security Report — Trusted | ClawSafe

0 /100

Deep Research Pro

学术论文深度研究技能 - 三阶段合成提取结构化数据

Deep Research Pro v5.0是一个学术研究辅助工具，功能声明与实际代码行为完全一致，无阴影功能，无恶意行为迹象。

Skill NameDeep Research Pro

Duration66.0s

Enginepi

✓

Safe to install

该技能可安全使用。所有功能均为合法研究辅助用途，代码实现规范，无越权操作。

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	extract-pmc.py:17 使用requests访问PMC API
Filesystem	`WRITE`	`WRITE`	✓ Aligned	extract-from-pdf.py:116 写入/tmp/目录，synthesize.sh:39 写入research_dir
Shell	`NONE`	`READ`	✓ Aligned	synthesize.sh:59 仅用Python读取卡片元数据

5 findings

🔗

Medium External URL 外部 URL

https://api.openalex.org

RESEARCH_PROTOCOL.md:32

🔗

Medium External URL 外部 URL

https://pubmed.ncbi.nlm.nih.gov

RESEARCH_PROTOCOL.md:33

🔗

Medium External URL 外部 URL

https://arxiv.org/pdf/xxx.pdf

scripts/extract-from-pdf.py:157

🔗

Medium External URL 外部 URL

https://www.ncbi.nlm.nih.gov/pmc/articles/PMC

scripts/extract-pmc.py:17

🔗

Medium External URL 外部 URL

https://jamanetwork.com/journals/jamanetworkopen/fullarticle/2812345

templates/source-card.md:76

File Tree

14 files · 46.7 KB · 1680 lines

Markdown 6f · 707L Python 3f · 465L Shell 2f · 434L Text 3f · 74L

├─ ▾ 📁 briefs

│ └─ 📝 theme-TEMPLATE.md Markdown 37L · 776 B

├─ ▾ 📁 prompts

│ ├─ 📄 cluster-cards.txt Text 27L · 672 B

│ ├─ 📄 write-brief.txt Text 24L · 1.1 KB

│ └─ 📄 write-final-report.txt Text 23L · 1.0 KB

├─ ▾ 📁 scripts

│ ├─ 🔧 check-sourcing.sh Shell 67L · 1.7 KB

│ ├─ 🐍 extract-from-pdf.py Python 202L · 5.9 KB

│ ├─ 🐍 extract-pmc.py Python 127L · 4.5 KB

│ ├─ 🐍 quality-score.py Python 136L · 3.8 KB

│ └─ 🔧 synthesize.sh Shell 367L · 10.8 KB

├─ ▾ 📁 templates

│ ├─ 📝 report-template.md Markdown 163L · 3.1 KB

│ └─ 📝 source-card.md Markdown 129L · 3.6 KB

├─ 📝 QUALITY_CRITERIA.md Markdown 101L · 2.8 KB

├─ 📝 RESEARCH_PROTOCOL.md Markdown 161L · 4.3 KB

└─ 📝 SKILL.md Markdown 116L · 2.6 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`requests`	`未锁定`	pip	No	extract-pmc.py使用，requests本身安全但建议固定版本
`pdfplumber`	`未锁定`	pip	No	extract-from-pdf.py优先使用，有pdftotext fallback

Security Positives

✓ 所有功能声明与实际代码行为完全一致

✓ 使用标准库(urllib, re, json)和主流库(requests, pdfplumber)

✓ PDF下载有User-Agent声明(OpenClaw/1.0)

✓ 错误处理完善(fallback to pdftotext)

✓ 临时文件正确清理(os.unlink)

✓ 无凭证收割、环境变量遍历或敏感路径访问

✓ 无base64编码、远程脚本执行或C2通信

✓ 报告生成有质量门禁和溯源验证机制

Scan Report

File Tree

Dependencies 2 items

Security Positives