中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 15/100
上次扫描:4 小时前 重新扫描
15 /100
health-checkup-recommender
AI 智能健康体检推荐服务
健康体检推荐技能,代码质量良好,有完善的同意检查和数据脱敏机制,未发现恶意行为。
技能名称health-checkup-recommender
分析耗时60.6s
引擎pi
ClawHub Health Checkup Recommender v4.1.9 by ryanbihai
📥 259 📦 1 ⭐ 1
ClawHub 判定 可疑 dangerous_execdynamic_code_execution
可以安装
该技能可安全使用。建议锁定 python qrcode 依赖版本以进一步降低供应链风险。

安全发现 2 项

严重性 安全发现 位置
低危
Python qrcode 依赖无版本锁定 供应链
SKILL.md 元数据声明 'python: qrcode' 但未指定版本号,pip install 可能安装任意版本
runtime_deps:
  - npm: qrcode
  - python: qrcode
→ 建议在文档中明确版本要求,如 'python: qrcode>=7.4.0'
 SKILL.md:36
提示
generate_qr.py 保留已废弃的 DEBUG_MODE 逻辑 文档欺骗
generate_qr.py 中存在读取 DEBUG_MODE 文件切换域名的逻辑,但该逻辑在 config/api.js 中已被移除。潜在风险:直接调用 python 脚本可能绕过 NODE_ENV 控制
debug_file_path = os.path.join(os.path.dirname(__file__), '..', 'DEBUG_MODE')
if os.path.exists(debug_file_path):
    return 'https://t.ihaola.com.cn'
→ 建议移除 generate_qr.py 中的 DEBUG_MODE 逻辑,统一使用 config/api.js 的环境配置
 scripts/generate_qr.py:20
资源类型声明权限推断权限状态证据
网络访问 READ READ ✓ 一致 _meta.json:15 限制为 *.ihaola.com.cn
文件系统 WRITE WRITE ✓ 一致 scripts/generate_qr.js:52 仅写入输出PNG文件
命令执行 NONE NONE 未使用 subprocess/child_process 执行 shell 命令
22 项发现
🔗
中危 外部 URL 外部 URL
https://www.ihaola.com.cn/launch/haola/pe?urlsrc=brief&welfareid=f6a3f9ef14&ruleid=e8c8941424
FALLBACK_MECHANISM.md:100
🔗
中危 外部 URL 外部 URL
https://www.ihaola.com.cn/launch/haola/pe?urlsrc=brief&welfareid=default_welfare&ruleid=default_rule
FALLBACK_MECHANISM.md:122
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/License-MIT-blue.svg
README.md:5
🔗
中危 外部 URL 外部 URL
https://opensource.org/licenses/MIT
README.md:5
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/Platform-OpenClaw-green.svg
README.md:6
🔗
中危 外部 URL 外部 URL
https://openclaw.ai
README.md:6
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/ClawHub-v4.1.6-orange.svg
README.md:7
🔗
中危 外部 URL 外部 URL
https://clawhub.ai/skill/ryanbihai/health-checkup-recommender
README.md:7
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/Downloads-60+-blue.svg
README.md:8
🔗
中危 外部 URL 外部 URL
https://*.ihaola.com.cn
SECURITY_AUDIT.md:12
🔗
中危 外部 URL 外部 URL
https://www.ihaola.com.cn
SKILL.md:4
🔗
中危 外部 URL 外部 URL
https://pe-t.ihaola.com.cn
SKILL.md:7
🔗
中危 外部 URL 外部 URL
http://*.ihaola.com.cn
_meta.json:15
🔗
中危 外部 URL 外部 URL
https://t.ihaola.com.cn
config/api.js:3
🔗
中危 外部 URL 外部 URL
https://pe.ihaola.com.cn
config/api.js:8
🔗
中危 外部 URL 外部 URL
https://www.ihaola.com.cn/launch/haola/pe?urlsrc=brief&welfareid=xxx&ruleid=xxx
reference/booking_info.md:6
🔗
中危 外部 URL 外部 URL
https://www.nhc.gov.cn
reference/evidence_mappings_2025.json:9
🔗
中危 外部 URL 外部 URL
https://www.bmj.com/content/381/bmj-2022-071000
reference/risk_logic_table.json:7
🔗
中危 外部 URL 外部 URL
https://pubmed.ncbi.nlm.nih.gov/37186210
reference/risk_logic_table.json:11
🔗
中危 外部 URL 外部 URL
https://jamanetwork.com/journals/jama/fullarticle/2777665
reference/risk_logic_table.json:15
🔗
中危 外部 URL 外部 URL
https://www.frontiersin.org/journals/cardiovascular-medicine/articles/10.3389/fcvm.2023.1123456/full
reference/risk_logic_table.json:19
🔗
中危 外部 URL 外部 URL
https://zhzlzz.ijournals.cn
reference/risk_logic_table.json:23

目录结构

24 文件 · 121.1 KB · 3269 行
Markdown 7f · 1218L JSON 7f · 1038L JavaScript 9f · 939L Python 1f · 74L
├─ 📁 config
│ └─ 📜 api.js JavaScript 24L · 583 B
├─ 📁 reference
│ ├─ 📝 booking_info.md Markdown 42L · 934 B
│ ├─ 📋 checkup_items.json JSON 194L · 14.1 KB
│ ├─ 📋 evidence_mappings_2025.json JSON 245L · 15.2 KB
│ ├─ 📋 risk_logic_table.json JSON 101L · 4.7 KB
│ └─ 📋 symptom_mapping.json JSON 119L · 4.9 KB
├─ 📁 scripts
│ ├─ 📜 calculate_prices.js JavaScript 140L · 3.8 KB
│ ├─ 📜 check_conflicts.js JavaScript 132L · 5.1 KB
│ ├─ 📜 generate_qr_with_fallback.js JavaScript 181L · 6.0 KB
│ ├─ 📜 generate_qr.js JavaScript 99L · 2.6 KB
│ ├─ 🐍 generate_qr.py Python 74L · 1.9 KB
│ ├─ 📜 sync_items.js JavaScript 95L · 2.6 KB
│ ├─ 📜 test_fallback.js JavaScript 46L · 1.7 KB
│ ├─ 📜 validate_skill.js JavaScript 92L · 2.2 KB
│ └─ 📜 verify_items.js JavaScript 130L · 5.1 KB
├─ 📋 _meta.json JSON 57L · 1.7 KB
├─ 📝 FALLBACK_MECHANISM.md Markdown 279L · 7.4 KB
├─ 📋 package-lock.json JSON 317L · 11.5 KB
├─ 📋 package.json JSON 5L · 56 B
├─ 📝 PROMPTS.md Markdown 256L · 7.3 KB
├─ 📝 README.md Markdown 66L · 2.7 KB
├─ 📝 REFACTORING.md Markdown 294L · 8.0 KB
├─ 📝 SECURITY_AUDIT.md Markdown 43L · 3.1 KB
└─ 📝 SKILL.md Markdown 238L · 8.1 KB

依赖分析 2 项

包名版本来源已知漏洞备注
qrcode ^1.5.4 npm 有版本锁定,来自 npm 官方源
qrcode * pip 无版本锁定,存在供应链风险

安全亮点

✓ 完善的同意检查机制:sync_items.js 和 generate_qr_with_fallback.js 均要求 --consent=true 参数
✓ 数据脱敏措施完善:仅传输脱敏的项目ID,不包含任何PII
✓ 网络访问严格限制:仅允许访问 ihaola.com.cn 域名
✓ 已移除敏感文件读取:config/api.js 移除了 DEBUG_MODE 文件读取逻辑
✓ 无环境变量遍历:无凭证收割行为
✓ 无远程代码执行:无 curl/wget 远程脚本执行
✓ 无代码混淆:无 base64/eval 等可疑模式
✓ npm 依赖有版本锁定:qrcode ^1.5.4