career-news Security Report — Trusted | ClawSafe

0 /100

career-news

Daily profession-targeted news from X (Twitter), Google News, Grok, and global media. Supports bilingual (zh/en), multi-profession subscriptions, and scheduled morning push.

Career News 是一个合法的职业新闻订阅工具，仅操作本地用户数据文件（data/users/），无外部网络请求、无 shell 执行、无凭证访问，行为与文档声明完全一致。

Skill Namecareer-news

Duration32.5s

Enginepi

✓

Safe to install

此技能可安全使用，无需限制。

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`READ\|WRITE`	✓ Aligned	SKILL.md 声明本地用户数据存储于 data/users/，脚本按需读写该目录
Network	`NONE`	`NONE`	—	所有脚本无 HTTP/DNS/远程连接
Shell	`NONE`	`NONE`	—	无 subprocess/exec/spawn 调用
Environment	`NONE`	`NONE`	—	无 os.environ 访问
credential	`NONE`	`NONE`	—	无 SSH/AWS/.env 访问
Skill Invoke	`NONE`	`NONE`	—	无内部技能调用

File Tree

8 files · 50.2 KB · 1101 lines

JavaScript 5f · 931L Markdown 1f · 148L JSON 2f · 22L

├─ ▾ 📁 scripts

│ ├─ 📜 manage-professions.js JavaScript 262L · 10.5 KB

│ ├─ 📜 morning-push.js JavaScript 246L · 13.5 KB

│ ├─ 📜 news-query.js JavaScript 226L · 12.0 KB

│ ├─ 📜 push-toggle.js JavaScript 50L · 1.6 KB

│ └─ 📜 register.js JavaScript 147L · 6.5 KB

├─ 📋 _meta.json JSON 6L · 122 B

├─ 📋 package.json JSON 16L · 505 B

└─ 📝 SKILL.md Markdown 148L · 5.3 KB

Security Positives

✓ 代码结构清晰，无混淆、无 base64、无动态 eval

✓ 用户输入经过严格的正则过滤（userId 限制为 [a-zA-Z0-9_-]），有效防止路径遍历

✓ 职业白名单机制（14 种职业 slug），防止注入

✓ 所有操作仅限于 data/users/ 目录下的 JSON 文件

✓ 无第三方依赖（package.json 仅列出 npm scripts），无供应链风险

✓ 文档与实现行为完全对应，无阴影功能

✓ --dry-run 模式提供安全的测试路径

Scan Report

File Tree

Security Positives