Name: crypto-news 安全扫描报告 — 可信 | ClawSafe
Item: crypto-news
Rating: 90
Author: ClawSafe

10 /100

crypto-news

加密快讯抓取与筛选技能

加密快讯抓取技能，功能声明与实际行为基本一致，存在轻微文档缺失但无恶意行为

技能名称crypto-news

分析耗时34.1s

引擎pi

ClawHub leesen86-news v1.0.0 by leesen86

📥 175 📦 1

ClawHub 判定可疑 dangerous_execllm_suspiciouspotential_exfiltrationvt_suspicious

✓

可以安装

可正常使用。建议补充 push-news.js 的飞书推送功能到 SKILL.md 文档，并将硬编码凭证迁移到环境变量以提高安全性

安全发现 2 项

严重性	安全发现	位置
低危	文档未完整声明推送功能文档欺骗 SKILL.md 只描述了 new.js 的数据抓取能力，但实际包含 push-news.js 实现飞书推送功能，该功能未在文档中声明 `OpenClaw 资讯自动推送脚本` → 在 SKILL.md 中补充 push-news.js 的飞书推送功能说明	`push-news.js:1`
低危	硬编码网关凭证供应链 GATEWAY_TOKEN 以硬编码形式存在于脚本中，依赖 node_modules/ws 库 `const GATEWAY_TOKEN = '30176f5d9e3d3372a70cefc8c1cf34248e5abc5888ec5519'` → 建议将凭证迁移到环境变量或配置文件	`push-news.js:9`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`WRITE`	✓ 一致	push-news.js:103 - 仅用于本地缓存 .sent-news.json
网络访问	`READ`	`READ`	✓ 一致	new.js:56 - 仅访问 BlockBeats API
命令执行	`NONE`	`WRITE`	✓ 一致	push-news.js:27 - execSync 调用同目录脚本，合理用途

19 项发现

🔗

中危外部 URL 外部 URL

https://m.theblockbeats.info/flash/336035

.sent-news.json:3

🔗

中危外部 URL 外部 URL

https://m.theblockbeats.info/flash/336027

.sent-news.json:4

🔗

中危外部 URL 外部 URL

https://m.theblockbeats.info/flash/336021

.sent-news.json:5

🔗

中危外部 URL 外部 URL

https://m.theblockbeats.info/flash/336002

.sent-news.json:6

🔗

中危外部 URL 外部 URL

https://m.theblockbeats.info/flash/335968

.sent-news.json:7

🔗

中危外部 URL 外部 URL

https://m.theblockbeats.info/flash/335961

.sent-news.json:8

🔗

中危外部 URL 外部 URL

https://m.theblockbeats.info/flash/335952

.sent-news.json:9

🔗

中危外部 URL 外部 URL

https://m.theblockbeats.info/flash/335944

.sent-news.json:10

🔗

中危外部 URL 外部 URL

https://m.theblockbeats.info/flash/335927

.sent-news.json:11

🔗

中危外部 URL 外部 URL

https://m.theblockbeats.info/flash/335925

.sent-news.json:12

🔗

中危外部 URL 外部 URL

https://m.theblockbeats.info/flash/335883

.sent-news.json:13

🔗

中危外部 URL 外部 URL

https://m.theblockbeats.info/flash/335822

.sent-news.json:14

🔗

中危外部 URL 外部 URL

https://m.theblockbeats.info/flash/335808

.sent-news.json:15

🔗

中危外部 URL 外部 URL

https://m.theblockbeats.info/flash/335654

.sent-news.json:16

🔗

中危外部 URL 外部 URL

https://m.theblockbeats.info/flash/335515

.sent-news.json:17

🔗

中危外部 URL 外部 URL

https://m.theblockbeats.info/flash/336114

.sent-news.json:18

🔗

中危外部 URL 外部 URL

https://api.theblockbeats.news/v1/open-api/open-flash

SKILL.md:12

🔗

中危外部 URL 外部 URL

https://m.theblockbeats.info/flash/335678

SKILL.md:75

🔗

中危外部 URL 外部 URL

http://127.0.0.1:18789

push-news.js:9

目录结构

7 文件 · 20.6 KB · 690 行

JavaScript 3f · 540L Markdown 1f · 92L JSON 3f · 58L

├─ 📋 .sent-news.json JSON 20L · 842 B

├─ 📜 new.js JavaScript 264L · 7.5 KB

├─ 📋 package-lock.json JSON 33L · 760 B

├─ 📋 package.json JSON 5L · 48 B

├─ 📜 push-news.js JavaScript 224L · 6.3 KB

├─ 📜 send-feishu.js JavaScript 52L · 1.3 KB

└─ 📝 SKILL.md Markdown 92L · 3.8 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`ws`	`^8.19.0`	npm	否	WebSocket 库，版本已锁定

安全亮点

✓ 代码结构清晰，功能单一且内聚

✓ 只访问声明的 BlockBeats 官方 API，无未经声明的网络请求

✓ 网络请求目标为本地网关 (127.0.0.1)，非外部 IP

✓ 文件系统写入仅限于本地缓存文件 .sent-news.json

✓ execSync 仅用于调用同目录的 new.js 脚本，用途合理

✓ 无 base64 编码、eval、shell 管道等危险操作

✓ 无环境变量遍历收割敏感凭证行为

✓ 依赖简单 ([email protected])，无已知漏洞