agency-hq 安全扫描报告 — 可信 | ClawSafe

5 /100

agency-hq

像素艺术风格AI Agent办公室可视化仪表盘，显示实时状态和活动

这是一个合法的像素艺术可视化工具，代码质量高，所有操作均已在 SKILL.md 中声明，无恶意行为发现。

技能名称agency-hq

分析耗时67.9s

引擎pi

✓

可以安装

无需阻止，可安全使用。shell:READ 权限用于系统监控（uptime/内存/磁盘），符合声明用途。

安全发现 1 项

严重性	安全发现	位置
低危	canvas依赖版本未锁定供应链 package.json中canvas版本为^3.2.1，存在已知CVE-2022-31261，但该模块仅用于OG图片生成脚本，不在主要执行路径中 `"canvas": "^3.2.1"` → 建议锁定版本："canvas": "3.2.1" 并关注CVE修复	`package.json:19`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	activity/route.ts:42-43 仅读取~/.openclaw路径
命令执行	`NONE`	`READ`	✓ 一致	stats/route.ts:16-35 execSync执行uptime/free/df等只读命令，status/route.ts:79执行ps aux只读检…
网络访问	`NONE`	`NONE`	—	无网络请求代码
环境变量	`NONE`	`READ`	✓ 一致	读取HOME/OPENCLAW_HOME/VERCEL/ARENA_MODE用于配置，无敏感信息外传
技能调用	`NONE`	`NONE`	—	无跨skill调用
剪贴板	`NONE`	`NONE`	—	无剪贴板操作
浏览器	`NONE`	`NONE`	—	Next.js服务端渲染应用，无浏览器API调用
数据库	`NONE`	`NONE`	—	SKILL.md明确说明无数据库

3 项发现

🔗

中危外部 URL 外部 URL

https://vercel.com/button

README.md:123

🔗

中危外部 URL 外部 URL

https://vercel.com/new/clone?repository-url=https%3A%2F%2Fgithub.com%2Fenjinstudio%2Fagency-hq

README.md:123

🔗

中危外部 URL 外部 URL

https://enjinstudio.com

README.md:198

目录结构

25 文件 · 155.6 KB · 4415 行

TypeScript 12f · 3877L Markdown 2f · 295L JavaScript 3f · 113L CSS 1f · 68L JSON 2f · 62L

├─ ▾ 📁 public

│ ├─ 📦 file.svg 391 B

│ ├─ 📦 globe.svg 1.0 KB

│ ├─ 📦 next.svg 1.3 KB

│ ├─ 📦 vercel.svg 128 B

│ └─ 📦 window.svg 385 B

├─ ▾ 📁 scripts

│ └─ 📜 generate-og-image.js JavaScript 88L · 2.3 KB

├─ ▾ 📁 src

│ ├─ ▾ 📁 app

│ │ ├─ ▾ 📁 api

│ │ │ └─ ▾ 📁 agents

│ │ │ ├─ ▾ 📁 activity

│ │ │ │ └─ 📜 route.ts TypeScript 162L · 6.4 KB

│ │ │ ├─ ▾ 📁 mode

│ │ │ │ └─ 📜 route.ts TypeScript 6L · 193 B

│ │ │ ├─ ▾ 📁 stats

│ │ │ │ └─ 📜 route.ts TypeScript 97L · 2.7 KB

│ │ │ └─ ▾ 📁 status

│ │ │ └─ 📜 route.ts TypeScript 158L · 4.8 KB

│ │ ├─ 📄 globals.css CSS 68L · 1.1 KB

│ │ ├─ 📜 layout.tsx TypeScript 33L · 983 B

│ │ └─ 📜 page.tsx TypeScript 270L · 10.8 KB

│ ├─ ▾ 📁 components

│ │ ├─ 📜 ActivityPanel.tsx TypeScript 422L · 17.9 KB

│ │ └─ 📜 PixelOffice.tsx TypeScript 2241L · 75.8 KB

│ └─ ▾ 📁 lib

│ ├─ 📜 agent-chat.ts TypeScript 279L · 8.3 KB

│ ├─ 📜 agents.ts TypeScript 77L · 3.3 KB

│ └─ 📜 demo-data.ts TypeScript 125L · 6.5 KB

├─ 📜 eslint.config.mjs JavaScript 18L · 465 B

├─ 📜 next.config.ts TypeScript 7L · 133 B

├─ 📋 package.json JSON 28L · 582 B

├─ 📜 postcss.config.mjs JavaScript 7L · 94 B

├─ 📝 README.md Markdown 198L · 6.6 KB

├─ 📝 SKILL.md Markdown 97L · 3.1 KB

└─ 📋 tsconfig.json JSON 34L · 670 B

依赖分析 5 项

包名	版本	来源	已知漏洞	备注
`next`	`16.1.6`	npm	否	固定版本
`react`	`19.2.3`	npm	否	固定版本
`pixi.js`	`^8.17.0`	npm	否	模糊版本可接受
`canvas`	`^3.2.1`	npm	是	存在CVE-2022-31261，建议锁定版本
`tailwindcss`	`^4`	npm	否	开发依赖

安全亮点

✓ 代码结构清晰，TypeScript类型定义完整

✓ SKILL.md声明与实际行为高度一致

✓ 无凭证收割、Base64解码、远程代码执行等高危操作

✓ Demo模式提供完整功能演示，无需访问真实数据

✓ 权限最小化原则：无数据库、无外部API调用

✓ 错误处理完善，使用try-catch包裹所有文件系统操作

✓ 敏感信息过滤：跳过HEARTBEAT消息，符合隐私保护