Name: crypto-news Security Report — Trusted | ClawSafe
Item: crypto-news
Rating: 90
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

10 /100

crypto-news

加密快讯抓取与筛选技能

加密快讯抓取技能，功能声明与实际行为基本一致，存在轻微文档缺失但无恶意行为

Skill Namecrypto-news

Duration34.1s

Enginepi

ClawHub leesen86-news v1.0.0 by leesen86

📥 175 📦 1

ClawHub Verdict Suspicious dangerous_execllm_suspiciouspotential_exfiltrationvt_suspicious

✓

Safe to install

可正常使用。建议补充 push-news.js 的飞书推送功能到 SKILL.md 文档，并将硬编码凭证迁移到环境变量以提高安全性

Findings 2 items

Severity	Finding	Location
Low	文档未完整声明推送功能 Doc Mismatch SKILL.md 只描述了 new.js 的数据抓取能力，但实际包含 push-news.js 实现飞书推送功能，该功能未在文档中声明 `OpenClaw 资讯自动推送脚本` → 在 SKILL.md 中补充 push-news.js 的飞书推送功能说明	`push-news.js:1`
Low	硬编码网关凭证 Supply Chain GATEWAY_TOKEN 以硬编码形式存在于脚本中，依赖 node_modules/ws 库 `const GATEWAY_TOKEN = '30176f5d9e3d3372a70cefc8c1cf34248e5abc5888ec5519'` → 建议将凭证迁移到环境变量或配置文件	`push-news.js:9`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`WRITE`	✓ Aligned	push-news.js:103 - 仅用于本地缓存 .sent-news.json
Network	`READ`	`READ`	✓ Aligned	new.js:56 - 仅访问 BlockBeats API
Shell	`NONE`	`WRITE`	✓ Aligned	push-news.js:27 - execSync 调用同目录脚本，合理用途

19 findings

🔗

Medium External URL 外部 URL

https://m.theblockbeats.info/flash/336035

.sent-news.json:3

🔗

Medium External URL 外部 URL

https://m.theblockbeats.info/flash/336027

.sent-news.json:4

🔗

Medium External URL 外部 URL

https://m.theblockbeats.info/flash/336021

.sent-news.json:5

🔗

Medium External URL 外部 URL

https://m.theblockbeats.info/flash/336002

.sent-news.json:6

🔗

Medium External URL 外部 URL

https://m.theblockbeats.info/flash/335968

.sent-news.json:7

🔗

Medium External URL 外部 URL

https://m.theblockbeats.info/flash/335961

.sent-news.json:8

🔗

Medium External URL 外部 URL

https://m.theblockbeats.info/flash/335952

.sent-news.json:9

🔗

Medium External URL 外部 URL

https://m.theblockbeats.info/flash/335944

.sent-news.json:10

🔗

Medium External URL 外部 URL

https://m.theblockbeats.info/flash/335927

.sent-news.json:11

🔗

Medium External URL 外部 URL

https://m.theblockbeats.info/flash/335925

.sent-news.json:12

🔗

Medium External URL 外部 URL

https://m.theblockbeats.info/flash/335883

.sent-news.json:13

🔗

Medium External URL 外部 URL

https://m.theblockbeats.info/flash/335822

.sent-news.json:14

🔗

Medium External URL 外部 URL

https://m.theblockbeats.info/flash/335808

.sent-news.json:15

🔗

Medium External URL 外部 URL

https://m.theblockbeats.info/flash/335654

.sent-news.json:16

🔗

Medium External URL 外部 URL

https://m.theblockbeats.info/flash/335515

.sent-news.json:17

🔗

Medium External URL 外部 URL

https://m.theblockbeats.info/flash/336114

.sent-news.json:18

🔗

Medium External URL 外部 URL

https://api.theblockbeats.news/v1/open-api/open-flash

SKILL.md:12

🔗

Medium External URL 外部 URL

https://m.theblockbeats.info/flash/335678

SKILL.md:75

🔗

Medium External URL 外部 URL

http://127.0.0.1:18789

push-news.js:9

File Tree

7 files · 20.6 KB · 690 lines

JavaScript 3f · 540L Markdown 1f · 92L JSON 3f · 58L

├─ 📋 .sent-news.json JSON 20L · 842 B

├─ 📜 new.js JavaScript 264L · 7.5 KB

├─ 📋 package-lock.json JSON 33L · 760 B

├─ 📋 package.json JSON 5L · 48 B

├─ 📜 push-news.js JavaScript 224L · 6.3 KB

├─ 📜 send-feishu.js JavaScript 52L · 1.3 KB

└─ 📝 SKILL.md Markdown 92L · 3.8 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`ws`	`^8.19.0`	npm	No	WebSocket 库，版本已锁定

Security Positives

✓ 代码结构清晰，功能单一且内聚

✓ 只访问声明的 BlockBeats 官方 API，无未经声明的网络请求

✓ 网络请求目标为本地网关 (127.0.0.1)，非外部 IP

✓ 文件系统写入仅限于本地缓存文件 .sent-news.json

✓ execSync 仅用于调用同目录的 new.js 脚本，用途合理

✓ 无 base64 编码、eval、shell 管道等危险操作

✓ 无环境变量遍历收割敏感凭证行为

✓ 依赖简单 ([email protected])，无已知漏洞

Scan Report

Findings 2 items

File Tree

Dependencies 1 items

Security Positives