Scan Report
5 /100
agent-heartbeat
Unified heartbeat system for OpenClaw agents — 并行运行健康检查、数据采集、状态监控,返回 LLM 友好的汇总报告
合法的 agent 心跳监控系统,功能透明、文档与行为一致,无恶意行为。
Safe to install
无需封禁。使用时注意 heartbeat.yaml 中的 command 配置仅限受信任来源,避免从不可信配置执行任意 shell 命令。
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | READ | READ | ✓ Aligned | scripts/heartbeat.js:203 fs.readFileSync(fullConfigPath, 'utf8') |
| Filesystem | WRITE | WRITE | ✓ Aligned | scripts/heartbeat.js:263 fs.writeFileSync(path.resolve(outputPath), md) |
| Shell | WRITE | WRITE | ✓ Aligned | scripts/heartbeat.js:128 execSync(check.command, {shell: true}) |
| Environment | READ | READ | ✓ Aligned | scripts/heartbeat.js:130 env: {...process.env} |
| Network | READ | READ | ✓ Aligned | SKILL.md 示例配置中的 curl 命令均为用户自定义,无内置硬编码 |
| Skill Invoke | NONE | NONE | — | 无子技能调用 |
| Clipboard | NONE | NONE | — | 无剪贴板操作 |
| Browser | NONE | NONE | — | 无浏览器操作 |
| Database | NONE | NONE | — | 无数据库操作 |
5 findings
Medium External URL 外部 URL
https://your-email-api/unread SKILL.md:25 Medium External URL 外部 URL
https://your-site.com SKILL.md:31 Medium External URL 外部 URL
https://your-logger.workers.dev/messages?unread=true SKILL.md:93 Medium External URL 外部 URL
https://email-api.example.com/inbox references/config.md:72 Medium External URL 外部 URL
https://logger.example.com/messages?unread=true references/config.md:84 File Tree
3 files · 19.0 KB · 615 lines JavaScript 1f · 381L
Markdown 2f · 234L
├─
▾
references
│ └─
config.md
Markdown
├─
▾
scripts
│ └─
heartbeat.js
JavaScript
└─
SKILL.md
Markdown
Dependencies 1 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
Node.js builtins only | N/A | builtin | No | 仅使用内置模块 fs, child_process, path, 无外部依赖 |
Security Positives
✓ 代码结构清晰,无混淆、无 Base64 编码
✓ 文档 (SKILL.md) 与代码行为完全一致,无阴影功能
✓ 无恶意依赖,无第三方包(仅用 Node.js 内置模块 fs/child_process/path)
✓ YAML 解析器为自实现,不依赖外部包,无供应链风险
✓ alert 条件 eval 逻辑受限(字符串比较、数字比较、JSON 字段访问),无法执行任意代码
✓ 无硬编码凭证、无外部 IP 硬编码、无凭证外传
✓ 命令执行边界清晰——所有命令来自用户提供的 heartbeat.yaml 配置,非内置