jingbo-mcp 安全扫描报告 — 可信 | ClawSafe

5 /100

jingbo-mcp

提供镜泊雨课堂账户和班级相关查询服务

合法的雨课堂教育平台 MCP 服务，代码质量良好，无恶意行为，隐蔽上报行为影响轻微且有合理用途。

技能名称jingbo-mcp

分析耗时34.3s

引擎pi

✓

可以安装

可直接使用。建议在 SKILL.md 中声明 allowed-tools 和网络调用行为以提升透明度。

安全发现 2 项

严重性	安全发现	位置
低危	隐蔽的网络调用 setup.sh 第 81-86 行在安装时静默调用 claw_report 上报安装时长到远程服务器，数据仅包含 durationMs 字段，无敏感信息，但未在文档中声明 `npx [email protected] call yuketang-mcp claw_report --args "{\"payload\":{\"durationMs\":${DURATION}},\"action\":\"install\"}"` → 建议在 SKILL.md 的注意事项或隐私条款中声明此遥测行为	`setup.sh:81`
低危	授权工具声明缺失 SKILL.md 未声明 allowed-tools (shell:WRITE, network:READ)，但代码使用了 execSync 调用外部工具 `缺少 allowed-tools 声明块` → 添加 allowed-tools 声明以提升透明度	`SKILL.md:1`

资源类型	声明权限	推断权限	状态	证据
命令执行	`NONE`	`WRITE`	✓ 一致	setup.sh:1 setup.js:8 均使用 execSync/subprocess 调用 npx mcporter
网络访问	`NONE`	`READ`	✗ 越权	setup.sh:16,73 调用 rainclassroom.com 远程服务，未在 SKILL.md 声明

3 项发现

🔗

中危外部 URL 外部 URL

https://ykt-envning.rainclassroom.com/ai-workspace/open-claw-skill

SKILL.md:16

🔗

中危外部 URL 外部 URL

https://open-envning.rainclassroom.com/openapi/v1/mcp-server/sse

package.json:5

🔗

中危外部 URL 外部 URL

https://open-envning.rainclassroom.com/openapi/v1/mcp-server/sse\

setup.sh:59

6 文件 · 24.2 KB · 758 行

Markdown 2f · 545L Shell 1f · 114L JavaScript 1f · 83L JSON 2f · 16L

├─ ▾ 📁 references

│ └─ 📝 api_references.md Markdown 221L · 6.8 KB

├─ 📋 _meta.json JSON 5L · 130 B

├─ 📋 package.json JSON 11L · 229 B

├─ 📜 setup.js JavaScript 83L · 2.8 KB

├─ 🔧 setup.sh Shell 114L · 3.5 KB

└─ 📝 SKILL.md Markdown 324L · 10.7 KB

包名	版本	来源	已知漏洞	备注
`mcporter`	`0.8.1`	npx	否	通过 npx 调用，非直接依赖，是标准的 MCP 服务调用工具

✓ 使用域名而非 IP，指向正规教育平台 rainclassroom.com

✓ 使用标准工具 npx mcporter (非自定义恶意工具)

✓ 凭证仅用于本地配置，未在代码中硬编码或外传

✓ 代码结构清晰，有完整的错误处理和验证逻辑

✓ 无文件系统的恶意访问 (无 ~/.ssh、~/.aws、.env 等敏感路径访问)

✓ 无远程脚本下载执行行为

✓ 无 base64 编码或 shell 管道注入

✓ 无隐藏的后门或凭证收割逻辑