扫描报告
5 /100
zwds-openclaw
紫微斗数排盘与解盘技能
纯本地紫微斗数排盘工具,仅使用官方 iztro npm 包,无网络外传行为,无凭证访问,无代码注入风险。
可以安装
可直接使用。建议关注 npm 依赖的官方更新以获取最新功能。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | READ | ✓ 一致 | zwds-cli/src/longitudeLookup.js:18 仅读取本地 data/longitudes.json |
| 网络访问 | NONE | NONE | — | SKILL.md 明确禁止外部 API,所有数据来自内置 JSON |
| 命令执行 | WRITE | WRITE | ✓ 一致 | SKILL.md:47 声明通过 shell 调用 node 命令 |
5 项发现
中危 外部 URL 外部 URL
https://iztro.com/quick-start.html SKILL.md:57 中危 外部 URL 外部 URL
https://locize.com zwds-cli/package-lock.json:40 中危 外部 URL 外部 URL
https://locize.com/i18next.html zwds-cli/package-lock.json:44 中危 外部 URL 外部 URL
https://www.i18next.com/how-to/faq#i18next-is-awesome.-how-can-i-support-the-project zwds-cli/package-lock.json:48 中危 外部 URL 外部 URL
https://geo.datav.aliyun.com/areas_v3/bound/$ zwds-cli/scripts/build-longitudes.mjs:85 目录结构
19 文件 · 167.9 KB · 5725 行 JSON 7f · 4533L
JavaScript 8f · 791L
Markdown 4f · 401L
├─
▾
zwds-cli
│ ├─
▾
data
│ │ └─
longitudes.json
JSON
│ ├─
▾
examples
│ │ └─
sample-payload.json
JSON
│ ├─
▾
scripts
│ │ ├─
build-longitudes.mjs
JavaScript
│ │ └─
save-fixture.mjs
JavaScript
│ ├─
▾
src
│ │ ├─
index.js
JavaScript
│ │ ├─
iztroClient.js
JavaScript
│ │ ├─
longitudeLookup.js
JavaScript
│ │ ├─
solarTime.js
JavaScript
│ │ └─
timeIndex.js
JavaScript
│ ├─
▾
test
│ │ └─
golden.test.js
JavaScript
│ ├─
_cities2.json
JSON
│ ├─
_city_raw.json
JSON
│ ├─
_nb.json
JSON
│ ├─
package-lock.json
JSON
│ ├─
package.json
JSON
│ └─
README.md
Markdown
├─
examples.md
Markdown
├─
reference.md
Markdown
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
iztro | 2.5.0 | npm | 否 | 版本已锁定,官方 npm 包 |
安全亮点
✓ SKILL.md 明确禁止外部 API 调用,强制使用内置经度数据
✓ 依赖锁定版本:[email protected],避免供应链攻击
✓ 无敏感路径访问(无 ~/.ssh、~/.aws、.env 等)
✓ 无凭证收割、环境变量遍历或数据外传行为
✓ 无代码混淆、eval、base64 解码等可疑模式
✓ 纯本地计算工具,输入仅限 JSON,不执行用户提供的代码