Scan Report
10 /100
q-wms
千易 SaaS 智能助手(WMS/ERP),负责库存、仓库、货主、订单、任务、绩效等查询
企业级 WMS/ERP 智能助手,代码质量高,无恶意行为,仅存在轻微文档声明瑕疵(网络访问未明确声明)。
Safe to install
建议补充 SKILL.md 中 network 能力的声明,说明需要访问后端 API 完成业务查询。可直接使用。
Findings 1 items
| Severity | Finding | Location |
|---|---|---|
| Low | 网络访问能力未在 SKILL.md 中声明 Doc Mismatch | plugin/q-wms-flow/index.js:173 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | NONE | READ | ✓ Aligned | plugin/q-wms-flow/index.js:146-161 (读写授权状态缓存) |
| Network | NONE | READ | ✓ Aligned | plugin/q-wms-flow/index.js:173-190 (POST 请求到后端 API) |
| Shell | NONE | NONE | — | N/A - scripts/*.sh 为独立部署脚本,非运行时执行 |
| Skill Invoke | READ | READ | ✓ Aligned | SKILL.md 声明调用 q-wms-flow,index.js 实现为工具注册 |
2 findings
Medium External URL 外部 URL
http://qlink-portal-test.800best.com README.md:64 Medium External URL 外部 URL
http://qlink-portal.800best.com README.md:71 File Tree
11 files · 62.6 KB · 1865 lines JavaScript 1f · 1031L
Markdown 3f · 552L
Shell 3f · 195L
JSON 4f · 87L
├─
▾
config
│ ├─
production.json
JSON
│ └─
test.json
JSON
├─
▾
plugin
│ └─
▾
q-wms-flow
│ ├─
index.js
JavaScript
│ ├─
openclaw.plugin.json
JSON
│ ├─
package.json
JSON
│ └─
README.md
Markdown
├─
▾
scripts
│ ├─
build.sh
Shell
│ ├─
install_complete.sh
Shell
│ └─
publish_skill.sh
Shell
├─
README.md
Markdown
└─
SKILL.md
Markdown
Dependencies 3 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
node:fs | built-in | node | No | 内置模块,用于文件读写(授权状态缓存) |
node:path | built-in | node | No | 内置模块 |
node:url | built-in | node | No | 内置模块,用于 __filename/__dirname |
Security Positives
✓ 代码质量高:完整的错误处理、版本检查、缓存机制、重试保护
✓ 授权流程规范:OAuth Device Flow 实现,支持 token 刷新和过期处理
✓ 无凭证收割:无遍历环境变量、读取 SSH/AWS 配置等可疑行为
✓ 无远程代码执行:无 eval()、base64 解码执行、动态脚本下载
✓ 数据流清晰:仅做业务转发,不做额外数据收集或外传
✓ 业务目的明确:纯 WMS 查询工具,意图透明