中文 EN

扫描报告

扫描新文件

可信 — 风险评分 10/100
上次扫描:10 小时前 重新扫描
10 /100
q-wms
千易 SaaS 智能助手(WMS/ERP),负责库存、仓库、货主、订单、任务、绩效等查询
企业级 WMS/ERP 智能助手,代码质量高,无恶意行为,仅存在轻微文档声明瑕疵(网络访问未明确声明)。
技能名称q-wms
分析耗时47.5s
引擎pi
可以安装
建议补充 SKILL.md 中 network 能力的声明,说明需要访问后端 API 完成业务查询。可直接使用。

安全发现 1 项

严重性 安全发现 位置
低危
网络访问能力未在 SKILL.md 中声明 文档欺骗
代码通过 fetch 调用后端 API (qlink-portal*.800best.com),但 SKILL.md 未明确声明 network:READ 能力。考虑到是正当业务调用(查询库存/订单等),影响较小。
await fetch(url, {method:'POST', headers:{'Content-Type':'application/json'}, body:JSON.stringify(body)})
→ 建议在 SKILL.md 补充说明:'需要访问 WMS 后端 API 完成业务查询'
 plugin/q-wms-flow/index.js:173
资源类型声明权限推断权限状态证据
文件系统 NONE READ ✓ 一致 plugin/q-wms-flow/index.js:146-161 (读写授权状态缓存)
网络访问 NONE READ ✓ 一致 plugin/q-wms-flow/index.js:173-190 (POST 请求到后端 API)
命令执行 NONE NONE N/A - scripts/*.sh 为独立部署脚本,非运行时执行
技能调用 READ READ ✓ 一致 SKILL.md 声明调用 q-wms-flow,index.js 实现为工具注册
2 项发现
🔗
中危 外部 URL 外部 URL
http://qlink-portal-test.800best.com
README.md:64
🔗
中危 外部 URL 外部 URL
http://qlink-portal.800best.com
README.md:71

目录结构

11 文件 · 62.6 KB · 1865 行
JavaScript 1f · 1031L Markdown 3f · 552L Shell 3f · 195L JSON 4f · 87L
├─ 📁 config
│ ├─ 📋 production.json JSON 9L · 239 B
│ └─ 📋 test.json JSON 9L · 260 B
├─ 📁 plugin
│ └─ 📁 q-wms-flow
│ ├─ 📜 index.js JavaScript 1031L · 35.3 KB
│ ├─ 📋 openclaw.plugin.json JSON 38L · 1.3 KB
│ ├─ 📋 package.json JSON 31L · 633 B
│ └─ 📝 README.md Markdown 75L · 2.0 KB
├─ 📁 scripts
│ ├─ 🔧 build.sh Shell 76L · 1.9 KB
│ ├─ 🔧 install_complete.sh Shell 63L · 1.5 KB
│ └─ 🔧 publish_skill.sh Shell 56L · 1.6 KB
├─ 📝 README.md Markdown 235L · 4.3 KB
└─ 📝 SKILL.md Markdown 242L · 13.5 KB

依赖分析 3 项

包名版本来源已知漏洞备注
node:fs built-in node 内置模块,用于文件读写(授权状态缓存)
node:path built-in node 内置模块
node:url built-in node 内置模块,用于 __filename/__dirname

安全亮点

✓ 代码质量高:完整的错误处理、版本检查、缓存机制、重试保护
✓ 授权流程规范:OAuth Device Flow 实现,支持 token 刷新和过期处理
✓ 无凭证收割:无遍历环境变量、读取 SSH/AWS 配置等可疑行为
✓ 无远程代码执行:无 eval()、base64 解码执行、动态脚本下载
✓ 数据流清晰:仅做业务转发,不做额外数据收集或外传
✓ 业务目的明确:纯 WMS 查询工具,意图透明