扫描报告
5 /100
agent-heartbeat
Unified heartbeat system for OpenClaw agents — 并行运行健康检查、数据采集、状态监控,返回 LLM 友好的汇总报告
合法的 agent 心跳监控系统,功能透明、文档与行为一致,无恶意行为。
可以安装
无需封禁。使用时注意 heartbeat.yaml 中的 command 配置仅限受信任来源,避免从不可信配置执行任意 shell 命令。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | READ | ✓ 一致 | scripts/heartbeat.js:203 fs.readFileSync(fullConfigPath, 'utf8') |
| 文件系统 | WRITE | WRITE | ✓ 一致 | scripts/heartbeat.js:263 fs.writeFileSync(path.resolve(outputPath), md) |
| 命令执行 | WRITE | WRITE | ✓ 一致 | scripts/heartbeat.js:128 execSync(check.command, {shell: true}) |
| 环境变量 | READ | READ | ✓ 一致 | scripts/heartbeat.js:130 env: {...process.env} |
| 网络访问 | READ | READ | ✓ 一致 | SKILL.md 示例配置中的 curl 命令均为用户自定义,无内置硬编码 |
| 技能调用 | NONE | NONE | — | 无子技能调用 |
| 剪贴板 | NONE | NONE | — | 无剪贴板操作 |
| 浏览器 | NONE | NONE | — | 无浏览器操作 |
| 数据库 | NONE | NONE | — | 无数据库操作 |
5 项发现
中危 外部 URL 外部 URL
https://your-email-api/unread SKILL.md:25 中危 外部 URL 外部 URL
https://your-site.com SKILL.md:31 中危 外部 URL 外部 URL
https://your-logger.workers.dev/messages?unread=true SKILL.md:93 中危 外部 URL 外部 URL
https://email-api.example.com/inbox references/config.md:72 中危 外部 URL 外部 URL
https://logger.example.com/messages?unread=true references/config.md:84 目录结构
3 文件 · 19.0 KB · 615 行 JavaScript 1f · 381L
Markdown 2f · 234L
├─
▾
references
│ └─
config.md
Markdown
├─
▾
scripts
│ └─
heartbeat.js
JavaScript
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
Node.js builtins only | N/A | builtin | 否 | 仅使用内置模块 fs, child_process, path, 无外部依赖 |
安全亮点
✓ 代码结构清晰,无混淆、无 Base64 编码
✓ 文档 (SKILL.md) 与代码行为完全一致,无阴影功能
✓ 无恶意依赖,无第三方包(仅用 Node.js 内置模块 fs/child_process/path)
✓ YAML 解析器为自实现,不依赖外部包,无供应链风险
✓ alert 条件 eval 逻辑受限(字符串比较、数字比较、JSON 字段访问),无法执行任意代码
✓ 无硬编码凭证、无外部 IP 硬编码、无凭证外传
✓ 命令执行边界清晰——所有命令来自用户提供的 heartbeat.yaml 配置,非内置