中文 EN

扫描报告

扫描新文件

可信 — 风险评分 0/100
上次扫描:4 小时前 重新扫描
0 /100
datatk-quote-skill
Real-time stock market data via QuoteNode API
QuoteNode REST API 集成工具,代码安全设计严谨,实现了严格的端点白名单、IP禁用、路径验证和凭证隔离机制,无任何恶意行为。
技能名称datatk-quote-skill
分析耗时22.2s
引擎pi
ClawHub Global Market Feed v1.0.1 by fengxiaozi-liu
📥 199
ClawHub 判定 可疑 llm_suspiciouspotential_exfiltration
可以安装
无需干预,可安全使用。
资源类型声明权限推断权限状态证据
文件系统 READ READ ✓ 一致 scripts/request.mjs:15 readFile env.json
网络访问 WRITE WRITE ✓ 一致 scripts/request.mjs:105 fetch POST to whitelist
命令执行 NONE NONE N/A
环境变量 NONE NONE N/A
技能调用 NONE NONE N/A
2 项发现
🔗
中危 外部 URL 外部 URL
https://www.datatk.com/service
SKILL.md:44
🔗
中危 外部 URL 外部 URL
https://your-endpoint.com
env.example.json:2

目录结构

7 文件 · 22.6 KB · 763 行
Markdown 5f · 576L JavaScript 1f · 184L JSON 1f · 3L
├─ 📁 references
│ ├─ 📝 architecture.md Markdown 42L · 2.1 KB
│ ├─ 📝 openapi.md Markdown 162L · 4.3 KB
│ ├─ 📝 reference.md Markdown 135L · 2.9 KB
│ └─ 📝 response.md Markdown 191L · 6.3 KB
├─ 📁 scripts
│ └─ 📜 request.mjs JavaScript 184L · 4.7 KB
├─ 📋 env.example.json JSON 3L · 78 B
└─ 📝 SKILL.md Markdown 46L · 2.1 KB

安全亮点

✓ 实现了严格的端点白名单机制 (quote.datatk.com, www.datatk.com, *.datatk.com)
✓ 明确禁止裸 IP 端点访问(防止数据外泄到任意服务器)
✓ 强制要求 HTTPS 协议,禁止 HTTP
✓ 路径验证禁止路径遍历 (..) 攻击
✓ 凭证 (apiKey) 仅用于向白名单端点认证,不外传
✓ 配置文件包含 placeholder 值检查,防止使用默认值
✓ 代码简洁清晰,无混淆或隐蔽行为
✓ JSON body 有合法性校验