openclaw-free-search 安全扫描报告 — 低风险 | ClawSafe

15 /100

openclaw-free-search

免Key网络搜索 - 使用DuckDuckGo Instant Answer API实现无需API key的web搜索功能

简单的免Key网络搜索工具，使用DuckDuckGo API实现核心功能，备用方案使用curl未在文档中声明但属于合理容错设计。

技能名称openclaw-free-search

分析耗时30.9s

引擎pi

✓

可以安装

建议将 execFileSync curl 备用方案写入文档说明；可考虑将依赖版本锁定。当前代码无恶意行为，可安全使用。

安全发现 3 项

严重性	安全发现	位置
低危	文档-行为轻微差异 search.js 在 fetch 失败时使用 execFileSync 执行 curl 作为备用方案，这是合理的容错设计，但 SKILL.md 未声明此备用能力 `const out = execFileSync('curl', ['-s', '-L', '--max-time', '15', url], {...});` → 将备用方案写入SKILL.md的功能说明中，使其与实际行为一致	`search.js:35`
低危	外部商业推广链接 SKILL.md包含指向付费服务landing page的外部链接，可能存在商业利益关联 `https://yang1002378395-cmyk.github.io/openclaw-install-service/` → 如非必需推广，可移除此外部链接以避免潜在利益冲突	`SKILL.md:45`
提示	SKILL.md格式异常 SKILL.md末尾混入了完整的JavaScript源代码，格式不符合标准文档规范 `#!/usr/bin/env node...` → 将代码移至独立文件，SKILL.md仅保留文档说明	`SKILL.md:50`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`NONE`	—	N/A - 未使用文件系统API
网络访问	`READ`	`READ`	✓ 一致	search.js:18 - fetch(url) 请求DuckDuckGo API
命令执行	`NONE`	`WRITE`	✓ 一致	search.js:35 - execFileSync('curl', [...]) 备用方案未在文档声明

2 项发现

🔗

中危外部 URL 外部 URL

https://yang1002378395-cmyk.github.io/openclaw-install-service/

SKILL.md:45

🔗

中危外部 URL 外部 URL

https://api.duckduckgo.com/?q=$

search.js:18

2 文件 · 3.5 KB · 124 行

JavaScript 1f · 75L Markdown 1f · 49L

├─ 📜 search.js JavaScript 75L · 2.3 KB

└─ 📝 SKILL.md Markdown 49L · 1.2 KB

✓ 使用原生fetch API，无第三方依赖引入

✓ 代码逻辑简单清晰，易于审计

✓ 支持User-Agent声明，体现良好的网络礼仪

✓ 提供--json标志支持结构化输出

✓ 有超时保护(maxBuffer限制)

✓ 无凭证访问、环境变量遍历或数据外泄行为