Scan Report
10 /100
虾说 (Lobster Says)
定时截图推送工具,通过 Telegram/微信/飞书 等通道发送状态截图和摘要
这是一个合法的定时截图推送工具,使用 OpenClaw agent API 发送消息,代码结构清晰,无恶意行为,但存在文档未完全覆盖实现(transcript digest)的轻微瑕疵。
Safe to install
建议在 SKILL.md 中补充 transcript digest 功能的说明,以保持文档与代码的一致性。
Findings 2 items
| Severity | Finding | Location |
|---|---|---|
| Low | Transcript digest 功能未在文档中声明 | digest-transcript.sh:1 |
| Low | 配置文件包含敏感凭证 | send-current-screenshot.sh:88 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | READ | WRITE | ✓ Aligned | 写入 ~/.openclaw/digests/ 和 .lobster-config |
| Network | READ | READ | ✓ Aligned | 调用 nixiashuo.com API 发送截图 |
| Shell | WRITE | WRITE | ✓ Aligned | 调用 openclaw CLI 和 cron 命令 |
| Environment | NONE | READ | ✓ Aligned | 读取环境变量用于配置传递 |
5 findings
Medium External URL 外部 URL
https://nixiashuo.com/api/memory/ingest SKILL.md:164 Medium External URL 外部 URL
https://nixiashuo.com/api/lobster/ SKILL.md:208 Medium External URL 外部 URL
https://nixiashuo.com/api/generate SKILL.md:212 Medium External URL 外部 URL
https://nixiashuo.com digest-transcript.sh:43 Info Email 邮箱地址
[email protected] README.md:139 File Tree
9 files · 95.9 KB · 2722 lines Shell 5f · 2218L
Markdown 2f · 465L
JSON 2f · 39L
├─
_meta.json
JSON
├─
digest-transcript.sh
Shell
├─
init-lobster.sh
Shell
├─
openclaw.json
JSON
├─
push-scheduled-message.sh
Shell
├─
README.md
Markdown
├─
send-current-screenshot.sh
Shell
├─
setup-cron.sh
Shell
└─
SKILL.md
Markdown
Security Positives
✓ 使用 OpenClaw agent 的标准 CLI 接口,无自定义网络请求到外部服务器
✓ 凭证用于本地 API 调用,未外传到第三方
✓ 代码结构清晰,函数化良好
✓ 日志记录完善,包含错误处理
✓ 无 base64|bash 管道、裸 IP 请求或 eval 动态执行等危险模式
✓ 无遍历 os.environ 收割敏感关键字的行为