中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 15/100
上次扫描:10 小时前 重新扫描
15 /100
powpow
将 OpenClaw 数字人发布到 Powpow 地图平台
Powpow 数字人地图平台集成 Skill,代码质量良好,行为与声明一致,无恶意行为发现。存在轻微供应链风险(axios 无版本锁定)。
技能名称powpow
分析耗时79.0s
引擎pi
可以安装
可安全使用。建议在未来版本中锁定 axios 依赖版本以符合供应链安全最佳实践。

安全发现 2 项

严重性 安全发现 位置
低危
axios 依赖未锁定版本 供应链
package.json 中 axios 版本为 ^1.6.0,使用通配符允许安装 1.x.x 系列任意版本,可能引入包含安全漏洞的新版本。
"axios": "^1.6.0"
→ 建议锁定具体版本,如 "axios": "1.7.4",并在更新前进行安全测试
 package.json:19
提示
本地存储认证凭证 敏感访问
JWT Token 和 userId 存储在 ~/.openclaw/powpow-config.json,这是实现登录功能所必需的。
saveConfig(config) 保存 token 和 userId
→ 确保 ~/.openclaw 目录权限设置为 700,防止其他用户读取
 scripts/powpow-client.ts:49
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 scripts/powpow-client.ts:49-52 读写 ~/.openclaw/powpow-config.json
网络访问 WRITE WRITE ✓ 一致 scripts/powpow-client.ts:76-82 向 Powpow API 发起 POST 请求
环境变量 READ READ ✓ 一致 scripts/powpow-client.ts:13 读取 POWPOW_BASE_URL
命令执行 NONE NONE 无 shell 执行代码
技能调用 NONE NONE 无技能调用代码
剪贴板 NONE NONE 无剪贴板访问
浏览器 NONE NONE 无浏览器操作
数据库 NONE NONE 无直接数据库访问
4 项发现
🔗
中危 外部 URL 外部 URL
https://global.powpow.online
README.md:148
🔗
中危 外部 URL 外部 URL
https://docs.openclaw.ai
README.md:149
🔗
中危 外部 URL 外部 URL
https://global.powpow.online/map
SKILL.md:35
🔗
中危 外部 URL 外部 URL
https://www.powpow.online/default-avatar.png
scripts/powpow-client.ts:261

目录结构

6 文件 · 24.9 KB · 1019 行
TypeScript 1f · 495L Markdown 3f · 472L JSON 2f · 52L
├─ 📁 scripts
│ └─ 📜 powpow-client.ts TypeScript 495L · 11.9 KB
├─ 📝 CHANGELOG.md Markdown 49L · 1.2 KB
├─ 📋 package.json JSON 28L · 570 B
├─ 📝 README.md Markdown 149L · 3.2 KB
├─ 📝 SKILL.md Markdown 274L · 7.6 KB
└─ 📋 tsconfig.json JSON 24L · 466 B

依赖分析 4 项

包名版本来源已知漏洞备注
axios ^1.6.0 npm 通配符版本,建议锁定
@types/node ^20 npm 开发依赖
tsx ^4.7.0 npm 开发依赖
typescript ^5 npm 开发依赖

安全亮点

✓ 代码结构清晰,TypeScript 类型定义完整
✓ createAgent 函数包含完整的输入验证(名称长度、地理位置范围、URL格式)
✓ 无 eval、spawn、exec 等危险函数调用
✓ 无 base64 编码或代码混淆
✓ 网络请求仅指向声明的 Powpow 域名
✓ 未发现访问 ~/.ssh、~/.aws、.env 等敏感路径
✓ 无隐藏的数据外泄或 C2 通信行为
✓ SKILL.md 声明的功能与代码实现完全一致
✓ JWT Token 认证机制完善
✓ 错误处理健壮,区分网络错误和 API 响应错误