中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 10/100
Last scan:2 hr ago Rescan
10 /100
wip-1password
AI plugin for 1Password secrets via JS SDK with service account headless access
1Password Secrets 插件,使用官方 SDK 提供安全的凭证管理功能,代码实现与声明能力一致,无恶意行为。
Skill Namewip-1password
Duration34.7s
Enginepi
ClawHub Wip 1password Private v0.2.2 by parkertoddbrooks
📥 203
ClawHub Verdict Suspicious dangerous_execllm_suspiciousvt_suspicious
Safe to install
可安全使用。建议用户确保服务账号 token 文件权限为 600,并仅授予插件必要 vault 的访问权限。

Findings 1 items

Severity Finding Location
Low
环境变量注入未在文档声明 Doc Mismatch
代码在启动时从 1Password 读取 OpenAI API key 并设置到 process.env.OPENAI_API_KEY,SKILL.md 未明确说明此行为
process.env.OPENAI_API_KEY = key;
→ 在 SKILL.md 的 Key Rules 或 Setup 部分添加说明:'插件会自动将 OpenAI API key 注入到 OPENAI_API_KEY 环境变量'
 src/index.ts:290
ResourceDeclaredInferredStatusEvidence
Filesystem READ READ ✓ Aligned src/index.ts:19 仅读取 token 文件
Network NONE NONE 仅通过 SDK 与 1Password API 通信
Environment NONE READ_WRITE ✓ Aligned src/index.ts:290 设置 process.env.OPENAI_API_KEY
5 findings
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/interface-Module-black
README.md:3
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/interface-MCP_Server-black
README.md:3
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/interface-OpenClaw_Plugin-black
README.md:3
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/interface-Skill-black
README.md:3
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/Universal_Interface_Spec-black?style=flat&color=black
README.md:3

File Tree

21 files · 105.1 KB · 3095 lines
Markdown 16f · 2396L TypeScript 1f · 497L JavaScript 1f · 122L JSON 3f · 80L
├─ 📁 _trash
│ ├─ 📝 RELEASE-NOTES-v0-2-0.md Markdown 35L · 1.4 KB
│ └─ 📝 RELEASE-NOTES-v0-2-2.md Markdown 99L · 4.6 KB
├─ 📁 ai
│ ├─ 📁 _trash
│ │ └─ 📝 README--before-format--2026-03-12.md Markdown 387L · 13.5 KB
│ ├─ 📁 dev-updates
│ │ ├─ 📝 2026-03-11--cc-mini--full-treatment.md Markdown 23L · 1.1 KB
│ │ └─ 📝 2026-03-11--cc-mini--readme-overhaul.md Markdown 49L · 2.4 KB
│ └─ 📁 todos
│ └─ 📝 PUNCHLIST.md Markdown 3L · 34 B
├─ 📁 docs
│ ├─ 📝 DEVELOPMENT.md Markdown 473L · 12.0 KB
│ ├─ 📝 HANDOFF.md Markdown 108L · 4.0 KB
│ ├─ 📝 PRD.md Markdown 138L · 6.8 KB
│ └─ 📝 SETUP.md Markdown 303L · 8.1 KB
├─ 📁 skills
│ └─ 📁 op-secrets
│ └─ 📝 SKILL.md Markdown 48L · 1.6 KB
├─ 📁 src
│ └─ 📜 index.ts TypeScript 497L · 16.7 KB
├─ 📝 CHANGELOG.md Markdown 148L · 6.1 KB
├─ 📝 CLA.md Markdown 19L · 1.2 KB
├─ 📜 mcp-server.mjs JavaScript 122L · 3.8 KB
├─ 📋 openclaw.plugin.json JSON 25L · 629 B
├─ 📋 package.json JSON 41L · 869 B
├─ 📝 README.md Markdown 77L · 3.4 KB
├─ 📝 SKILL.md Markdown 104L · 3.1 KB
├─ 📝 TECHNICAL.md Markdown 382L · 13.6 KB
└─ 📋 tsconfig.json JSON 14L · 279 B

Dependencies 2 items

PackageVersionSourceKnown VulnsNotes
@1password/sdk ^0.3.1 npm No 官方 1Password SDK
@modelcontextprotocol/sdk ^1.27.1 npm No MCP 标准协议库

Security Positives

✓ 使用官方 @1password/sdk 库,非自实现凭证处理
✓ Token 验证要求 'ops_' 前缀,防止加载错误格式
✓ 提供 redact() 函数防止日志泄露敏感值
✓ CLI 命令有 timeout 保护(15s)
✓ 服务账号设计遵循最小权限原则
✓ MIT 许可证,代码可审计
✓ 无外部网络请求(除 1Password API)
✓ 无代码混淆或隐蔽执行