扫描报告
5 /100
wechat-openclaw-gateway
在 OpenClaw 中提供 WeChat 回调接入、群私聊会话路由、消息发送与图片识别入口能力
合法 WeChat 网关工具,代码与文档一致,无恶意行为,仅存在轻微配置管理瑕疵(token 存文件而非 env)。
可以安装
可直接使用。考虑将 WX_API_TOKEN 改为通过环境变量注入以进一步强化安全。
安全发现 1 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | API Token 明文存储在配置文件 权限提升 | main.py:170 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | SKILL.md:创建 config.ini、logs/、images/;main.py:write_config()、save_incoming_image_… |
| 网络访问 | READ | READ | ✓ 一致 | SKILL.md声明调用微信API;main.py:requests.post()至{base_url}下的各端点,均为合法API调用 |
| 命令执行 | WRITE | WRITE | ✓ 一致 | SKILL.md声明调用OpenClaw CLI;main.py:subprocess.run([self.bin, 'agent', ...]) |
| 环境变量 | NONE | READ | ✓ 一致 | main.py:os.environ.copy() 仅用于构建子进程环境,未遍历敏感关键字 |
9 项发现
中危 外部 URL 外部 URL
https://img.shields.io/badge/Python-3.10+-blue README.md:6 中危 外部 URL 外部 URL
https://img.shields.io/badge/FastAPI-WebHook-green README.md:7 中危 外部 URL 外部 URL
https://img.shields.io/badge/OpenClaw-Agent-orange README.md:8 中危 外部 URL 外部 URL
https://img.shields.io/badge/Status-Running-success README.md:9 中危 外部 URL 外部 URL
http://your-domain:5000 README.md:212 中危 外部 URL 外部 URL
http://your-domain:5000/wechat/callback README.md:216 中危 外部 URL 外部 URL
https://wechatapi.net SKILL.md:4 中危 外部 URL 外部 URL
http://api.wechatapi.net/finder/v2/api SKILL.md:65 中危 外部 URL 外部 URL
http://你的公网IP:5000 main.py:91 目录结构
4 文件 · 50.5 KB · 1711 行 Python 1f · 1114L
Markdown 3f · 597L
├─
main.py
Python
├─
PUBLISH.md
Markdown
├─
README.md
Markdown
└─
SKILL.md
Markdown
依赖分析 5 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
fastapi | 未锁定 | pip | 否 | 未在代码中指定版本,README.md 列出但未锁定 |
uvicorn | 未锁定 | pip | 否 | 未在代码中指定版本 |
requests | 未锁定 | pip | 否 | 未在代码中指定版本 |
pillow | 未锁定 | pip | 否 | 未在代码中指定版本 |
qrcode | 未锁定 | pip | 否 | 未在代码中指定版本 |
安全亮点
✓ 文档与代码完全一致,无阴影功能
✓ 无凭证收割行为(不遍历 os.environ 匹配敏感关键字)
✓ 无代码混淆、Base64 动态执行或 eval 行为
✓ 所有网络请求均为声明的微信 API 端点,无外部 C2 通信
✓ subprocess 调用仅用于合法的 OpenClaw CLI,未执行动态构造的 shell 命令
✓ 依赖包均为主流安全库,无已知高危漏洞
✓ 使用代理禁用(NO_PROXY)防止请求被重定向
✓ 消息去重机制防止重放攻击
✓ 白名单机制控制私聊访问权限