powpow Security Report — Low Risk | ClawSafe

15 /100

powpow

将 OpenClaw 数字人发布到 Powpow 地图平台

Powpow 数字人地图平台集成 Skill，代码质量良好，行为与声明一致，无恶意行为发现。存在轻微供应链风险（axios 无版本锁定）。

Skill Namepowpow

Duration79.0s

Enginepi

✓

Safe to install

可安全使用。建议在未来版本中锁定 axios 依赖版本以符合供应链安全最佳实践。

Findings 2 items

Severity	Finding	Location
Low	axios 依赖未锁定版本 Supply Chain package.json 中 axios 版本为 ^1.6.0，使用通配符允许安装 1.x.x 系列任意版本，可能引入包含安全漏洞的新版本。 `"axios": "^1.6.0"` → 建议锁定具体版本，如 "axios": "1.7.4"，并在更新前进行安全测试	`package.json:19`
Info	本地存储认证凭证 Sensitive Access JWT Token 和 userId 存储在 ~/.openclaw/powpow-config.json，这是实现登录功能所必需的。 `saveConfig(config) 保存 token 和 userId` → 确保 ~/.openclaw 目录权限设置为 700，防止其他用户读取	`scripts/powpow-client.ts:49`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	scripts/powpow-client.ts:49-52 读写 ~/.openclaw/powpow-config.json
Network	`WRITE`	`WRITE`	✓ Aligned	scripts/powpow-client.ts:76-82 向 Powpow API 发起 POST 请求
Environment	`READ`	`READ`	✓ Aligned	scripts/powpow-client.ts:13 读取 POWPOW_BASE_URL
Shell	`NONE`	`NONE`	—	无 shell 执行代码
Skill Invoke	`NONE`	`NONE`	—	无技能调用代码
Clipboard	`NONE`	`NONE`	—	无剪贴板访问
Browser	`NONE`	`NONE`	—	无浏览器操作
Database	`NONE`	`NONE`	—	无直接数据库访问

4 findings

🔗

Medium External URL 外部 URL

https://global.powpow.online

README.md:148

🔗

Medium External URL 外部 URL

https://docs.openclaw.ai

README.md:149

🔗

Medium External URL 外部 URL

https://global.powpow.online/map

SKILL.md:35

🔗

Medium External URL 外部 URL

https://www.powpow.online/default-avatar.png

scripts/powpow-client.ts:261

File Tree

6 files · 24.9 KB · 1019 lines

TypeScript 1f · 495L Markdown 3f · 472L JSON 2f · 52L

├─ ▾ 📁 scripts

│ └─ 📜 powpow-client.ts TypeScript 495L · 11.9 KB

├─ 📝 CHANGELOG.md Markdown 49L · 1.2 KB

├─ 📋 package.json JSON 28L · 570 B

├─ 📝 README.md Markdown 149L · 3.2 KB

├─ 📝 SKILL.md Markdown 274L · 7.6 KB

└─ 📋 tsconfig.json JSON 24L · 466 B

Dependencies 4 items

Package	Version	Source	Known Vulns	Notes
`axios`	`^1.6.0`	npm	No	通配符版本，建议锁定
`@types/node`	`^20`	npm	No	开发依赖
`tsx`	`^4.7.0`	npm	No	开发依赖
`typescript`	`^5`	npm	No	开发依赖

Security Positives

✓ 代码结构清晰，TypeScript 类型定义完整

✓ createAgent 函数包含完整的输入验证（名称长度、地理位置范围、URL格式）

✓ 无 eval、spawn、exec 等危险函数调用

✓ 无 base64 编码或代码混淆

✓ 网络请求仅指向声明的 Powpow 域名

✓ 未发现访问 ~/.ssh、~/.aws、.env 等敏感路径

✓ 无隐藏的数据外泄或 C2 通信行为

✓ SKILL.md 声明的功能与代码实现完全一致

✓ JWT Token 认证机制完善

✓ 错误处理健壮，区分网络错误和 API 响应错误

Scan Report

Findings 2 items

File Tree

Dependencies 4 items

Security Positives