opencron 安全扫描报告 — 可信 | ClawSafe

0 /100

opencron

Visual cron job dashboard for OpenClaw — live countdown timers, run history, calendar view

OpenCron 是合法的 cron job 监控 dashboard，代码清晰，无恶意行为，所有操作与声明一致

技能名称opencron

分析耗时58.8s

引擎pi

✓

可以安装

无需操作，可安全使用

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	generate.py:21, serve.py:36 读取 ~/.openclaw/cron/
文件系统	`WRITE`	`WRITE`	✓ 一致	update_canvas.py:46 写入 /app/dist/control-ui（OpenClaw 标准部署路径）
网络访问	`READ`	`READ`	✓ 一致	serve.py:17 从 GitHub raw URL 获取 dashboard HTML
命令执行	`WRITE`	`WRITE`	✓ 一致	SKILL.md 声明启动 python3 HTTP 服务器，bin/install.js 执行 git clone

3 项发现

🔗

中危外部 URL 外部 URL

http://www.w3.org/2000/svg

demo.html:276

🔗

中危外部 URL 外部 URL

http://0.0.0.0:

serve.py:115

📧

提示邮箱邮箱地址

[email protected]

demo.html:345

目录结构

9 文件 · 61.7 KB · 1272 行

HTML 1f · 799L Python 3f · 275L Markdown 2f · 118L JavaScript 1f · 60L JSON 1f · 11L Shell 1f · 9L

├─ ▾ 📁 bin

│ └─ 📜 install.js JavaScript 60L · 1.9 KB

├─ 📄 demo.html HTML 799L · 48.1 KB

├─ 🐍 generate.py Python 47L · 1.3 KB

├─ 📋 package.json JSON 11L · 302 B

├─ 📝 README.md Markdown 57L · 1.6 KB

├─ 🐍 serve.py Python 120L · 3.4 KB

├─ 📝 SKILL.md Markdown 61L · 1.6 KB

├─ 🐍 update_canvas.py Python 108L · 3.1 KB

└─ 🔧 watch_sync.sh Shell 9L · 324 B

包名	版本	来源	已知漏洞	备注
`无外部依赖`	`标准库`	Python 内置	否	仅使用 json, pathlib, http.server, urllib.request

✓ 代码结构清晰，使用标准 Python 库（json, pathlib, http.server）

✓ 所有文件操作均有文档说明，无阴影功能

✓ 数据源仅限于 ~/.openclaw/cron/ 目录，范围明确

✓ 无敏感凭证访问、无环境变量遍历、无网络外传

✓ HTTP 服务器为本地服务（监听 0.0.0.0:18790 但为 OpenClaw bridge port）

✓ GitHub URL 硬编码为 firstfloris/opencron，无动态域名解析