security-defense-line Security Report — Low Risk | ClawSafe

28 /100

security-defense-line

安全防线 - 全方位安全防护与威胁防御系统，提供智能合约审计、钱包检测、交易验证、钓鱼防护等功能

Skill核心功能为区块链安全工具的模拟实现，payment.py中硬编码API Key是透明度问题但非恶意行为，无实际攻击链。

Skill Namesecurity-defense-line

Duration37.9s

Enginepi

✓

Safe to install

移除硬编码API Key改用环境变量；SKILL.md补充billing模块说明；建议审查第三方依赖版本锁定。

Findings 4 items

Severity	Finding	Location
Medium	硬编码API凭证 payment.py中硬编码了BILLING_API_KEY，应使用环境变量注入以避免泄露风险 `BILLING_API_KEY = "sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2"` → 使用os.environ.get('SKILLPAY_API_KEY')从环境变量读取	`payment.py:12`
Medium	文档未声明的支付模块 payment.py实现了SkillPay计费功能，但SKILL.md完全未提及此模块的存在和实际行为 `"""\nSkillPay Billing Integration\n自动集成付费验证功能\n"""` → 在SKILL.md中添加支付/计费模块说明，或在_meta.json中声明billing相关权限	`payment.py:1`
Low	第三方依赖无版本锁定代码使用了requests库但未发现requirements.txt，存在依赖版本不确定性 `import requests` → 创建requirements.txt并锁定requests版本，如requests>=2.28.0	`payment.py:7`
Info	外部API域名可配置性 BILLING_API_URL硬编码为https://skillpay.me，可考虑配置文件管理 `BILLING_API_URL = "https://skillpay.me"` → 可使用环境变量或配置文件，便于切换测试环境	`payment.py:13`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`READ`	✓ Aligned	脚本仅用于生成本地报告(如audit_report.json)，符合声明的安全审计功能
Network	`NONE`	`WRITE`	✗ Violation	payment.py:35-70 发起POST请求到skillpay.me进行扣费，SKILL.md未声明此网络行为
Shell	`NONE`	`NONE`	—	未发现subprocess/os.system等shell执行调用
Environment	`NONE`	`READ`	✓ Aligned	payment.py:69 仅读取SKILLPAY_USER_ID用于计费，未遍历敏感环境变量

1 High 22 findings

🔑

High API Key 疑似硬编码凭证

API_KEY = "sk_f03aa8f8bbcf79f7aa11c112d904780f22e62add1464e3c41a79600a451eb1d2"

payment.py:12

🔗

Medium External URL 外部 URL

https://suspicious-site.com

SKILL.md:106

🔗

Medium External URL 外部 URL

https://skillpay.me

payment.py:11

🔗

Medium External URL 外部 URL

https://swcregistry.io/

references/contract-auditing.md:238

🔗

Medium External URL 外部 URL

https://consensys.github.io/smart-contract-best-practices/

references/contract-auditing.md:239

🔗

Medium External URL 外部 URL

https://docs.openzeppelin.com/contracts/

references/contract-auditing.md:240

🔗

Medium External URL 外部 URL

https://www.certora.com/

references/contract-auditing.md:241

🔗

Medium External URL 外部 URL

https://swcregistry.io/docs/SWC-107

scripts/contract_auditor.py:160

🔗

Medium External URL 外部 URL

https://consensys.github.io/smart-contract-best-practices/attacks/reentrancy/

scripts/contract_auditor.py:161

🔗

Medium External URL 外部 URL

https://swcregistry.io/docs/SWC-104

scripts/contract_auditor.py:164

🔗

Medium External URL 外部 URL

https://swcregistry.io/docs/SWC-115

scripts/contract_auditor.py:167

🔗

Medium External URL 外部 URL

https://docs.soliditylang.org/en/v0.8.0/080-breaking-changes.html

scripts/contract_auditor.py:190

💰

Medium Wallet Address 加密货币钱包地址

0x1111111111111111111111111111111111111111

scripts/multisig_manager.py:51

💰

Medium Wallet Address 加密货币钱包地址

0x2222222222222222222222222222222222222222

scripts/multisig_manager.py:52

💰

Medium Wallet Address 加密货币钱包地址

0x3333333333333333333333333333333333333333

scripts/multisig_manager.py:53

🔗

Medium External URL 外部 URL

https://uniswap.org

scripts/phishing_detector.py:316

🔗

Medium External URL 外部 URL

https://uniswop.org

scripts/phishing_detector.py:317

🔗

Medium External URL 外部 URL

https://claim-free-tokens.xyz

scripts/phishing_detector.py:318

🔗

Medium External URL 外部 URL

https://ethereum.org

scripts/phishing_detector.py:319

💰

Medium Wallet Address 加密货币钱包地址

0x7a250d5630B4cF539739dF2C5dAcb4c659F2488D

scripts/tx_validator.py:314

💰

Medium Wallet Address 加密货币钱包地址

0x0000000000000000000000000000000000000000

scripts/wallet_guardian.py:37

💰

Medium Wallet Address 加密货币钱包地址

0xdead00000000000000000000000000000000dead

scripts/wallet_guardian.py:38

File Tree

10 files · 87.2 KB · 2745 lines

Python 7f · 2081L Markdown 2f · 645L JSON 1f · 19L

├─ ▾ 📁 references

│ └─ 📝 contract-auditing.md Markdown 245L · 6.3 KB

├─ ▾ 📁 scripts

│ ├─ 🐍 contract_auditor.py Python 324L · 11.2 KB

│ ├─ 🐍 incident_responder.py Python 321L · 10.5 KB

│ ├─ 🐍 multisig_manager.py Python 327L · 10.5 KB

│ ├─ 🐍 phishing_detector.py Python 339L · 11.5 KB

│ ├─ 🐍 tx_validator.py Python 336L · 11.2 KB

│ └─ 🐍 wallet_guardian.py Python 292L · 10.2 KB

├─ 📋 _meta.json JSON 19L · 442 B

├─ 🐍 payment.py Python 142L · 5.2 KB

└─ 📝 SKILL.md Markdown 400L · 10.2 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`requests`	`*`	pip	No	无版本锁定，建议指定最小版本

Security Positives

✓ 核心脚本为区块链安全工具的合理模拟实现，无恶意代码

✓ 未发现凭证收割行为（遍历环境变量匹配敏感关键字）

✓ 未发现远程代码执行（curl|bash管道、eval等）

✓ 未发现数据外泄（向第三方IP发送用户凭证）

✓ 钓鱼检测、钱包扫描等功能符合安全工具定位

✓ 网络请求仅用于合法的计费API调用

Scan Report

Findings 4 items

File Tree

Dependencies 1 items

Security Positives