dao-governance 安全扫描报告 — 可信 | ClawSafe

5 /100

dao-governance

Web3 DAO 治理信息查询技能，使用 Degov Agent API 作为主要数据源

合法的 DAO 治理信息查询技能，使用标准加密库管理钱包，无恶意行为。预扫描标记的 base64 IOC 是标准加密实现误报。

技能名称dao-governance

分析耗时37.9s

引擎pi

✓

可以安装

可直接使用。预扫描的 base64 告警是 Buffer.from() 标准加密操作，用于 AES-256-GCM 解密时的 base64 解码，不是恶意代码混淆。

安全发现 3 项

严重性	安全发现	位置
提示	预扫描 base64 IOC 为标准加密操作预扫描报告的 4 个 base64_cmd IOC（wallet-store.ts:208-216）是 AES-256-GCM 解密的标准实现。crypto.createDecipheriv 需要 Buffer 而非 base64 字符串，因此使用 Buffer.from(..., 'base64') 将存储的 base64 数据还原为二进制。这是 PKCS#7 兼容的正当加密实现，非代码混淆。 `const key = crypto.scryptSync(passphrase, Buffer.from(cryptoPayload.salt, 'base64'), 32); const decipher = crypto.createDecipheriv(cryptoPayload.algorithm, key, Buffer.from(cryptoPayload.iv, 'base64'));` → 无行动必要，这是标准加密代码	`scripts/wallet-store.ts:208-216`
低危	依赖无版本锁定 package.json 中 viem 使用 ^2.37.5 语义版本范围。依赖库更新可能引入不兼容变更，建议生产环境使用精确版本。 `"viem": "^2.37.5"` → 考虑使用 pnpm shrinkwrap 或 yarn resolutions 锁定依赖版本	`scripts/package.json:19`
低危	WALLET_FILE_MODE 权限设置依赖最佳努力 normalizeWalletPermissions 使用 try-catch 静默忽略错误，权限检查失败不中断执行。 `} catch { // Best effort only. }` → 评估是否需要更严格的错误处理	`scripts/wallet-store.ts:71-81`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	SKILL.md:55 wallet.json 默认存储路径
网络访问	`READ`	`READ`	✓ 一致	SKILL.md:71-79 声明的 API 端点
环境变量	`READ`	`READ`	✓ 一致	degov-client.ts:6 支持 DEGOV_AGENT_* 环境变量

4 严重 8 项发现

🔒

严重编码执行 Base64 编码执行（代码混淆）

Buffer.from(cryptoPayload.salt, 'base64'

scripts/wallet-store.ts:208

🔒

严重编码执行 Base64 编码执行（代码混淆）

Buffer.from(cryptoPayload.iv, 'base64'

scripts/wallet-store.ts:212

🔒

严重编码执行 Base64 编码执行（代码混淆）

Buffer.from(cryptoPayload.authTag, 'base64'

scripts/wallet-store.ts:214

🔒

严重编码执行 Base64 编码执行（代码混淆）

Buffer.from(cryptoPayload.ciphertext, 'base64'

scripts/wallet-store.ts:216

🔗

中危外部 URL 外部 URL

https://agent-api.degov.ai

scripts/README.md:32

🔗

中危外部 URL 外部 URL

https://mainnet.base.org

scripts/degov-client.ts:87

🔗

中危外部 URL 外部 URL

https://basescan.org/tx/$

scripts/degov-client.ts:160

💰

中危钱包地址加密货币钱包地址

0x833589fCD6eDb6E08f4c7C32D4f71b54bdA02913

scripts/wallet-store.ts:18

目录结构

7 文件 · 63.4 KB · 2005 行

TypeScript 2f · 883L YAML 1f · 737L Markdown 2f · 344L JSON 2f · 41L

├─ ▾ 📁 scripts

│ ├─ 📜 degov-client.ts TypeScript 499L · 14.8 KB

│ ├─ 📋 package.json JSON 27L · 1.1 KB

│ ├─ 📋 pnpm-lock.yaml YAML 737L · 22.0 KB

│ ├─ 📝 README.md Markdown 87L · 2.7 KB

│ ├─ 📋 tsconfig.json JSON 14L · 290 B

│ └─ 📜 wallet-store.ts TypeScript 384L · 10.4 KB

└─ 📝 SKILL.md Markdown 257L · 12.1 KB

依赖分析 3 项

包名	版本	来源	已知漏洞	备注
`viem`	`^2.37.5`	npm	否	官方以太坊库，版本范围较宽
`@x402/evm`	`^2.6.0`	npm	否	x402 支付协议官方 SDK
`@x402/fetch`	`^2.6.0`	npm	否	x402 支付协议官方 SDK

安全亮点

✓ 文档完整清晰，详细描述了所有命令和权限用途

✓ 使用标准 AES-256-GCM + scrypt 加密保护私钥，符合加密最佳实践

✓ Guardrails 明确禁止要求用户粘贴私钥

✓ 使用 x402 微支付协议，无需共享私钥即可完成链上支付

✓ 外部网络请求仅限声明的 degov.ai API 和 Base 主网，无隐蔽数据外泄

✓ 无环境变量遍历、无凭证收集、无远程代码执行

✓ 使用 viem 官方库进行以太坊操作，非自定义危险实现