中文 EN

扫描报告

扫描新文件

可信 — 风险评分 10/100
上次扫描:2 天前 重新扫描
10 /100
虾说 (Lobster Says)
定时截图推送工具,通过 Telegram/微信/飞书 等通道发送状态截图和摘要
这是一个合法的定时截图推送工具,使用 OpenClaw agent API 发送消息,代码结构清晰,无恶意行为,但存在文档未完全覆盖实现(transcript digest)的轻微瑕疵。
技能名称虾说 (Lobster Says)
分析耗时46.8s
引擎pi
可以安装
建议在 SKILL.md 中补充 transcript digest 功能的说明,以保持文档与代码的一致性。

安全发现 2 项

严重性 安全发现 位置
低危
Transcript digest 功能未在文档中声明
digest-transcript.sh 提供了对话记录摘要生成功能,但 SKILL.md 中未提及此功能的存在。
功能存在于代码中但文档未覆盖
→ 在 SKILL.md 中补充 transcript digest 功能说明
 digest-transcript.sh:1
低危
配置文件包含敏感凭证
~/.openclaw/openclaw.json 包含 access_token、user_id 和 gateway token,这些凭证用于 API 认证。代码正确使用凭证进行 API 调用,未外泄。
read_config_value access_token
→ 确保配置文件权限适当(600),且凭证仅用于工具内部 API 调用
 send-current-screenshot.sh:88
资源类型声明权限推断权限状态证据
文件系统 READ WRITE ✓ 一致 写入 ~/.openclaw/digests/ 和 .lobster-config
网络访问 READ READ ✓ 一致 调用 nixiashuo.com API 发送截图
命令执行 WRITE WRITE ✓ 一致 调用 openclaw CLI 和 cron 命令
环境变量 NONE READ ✓ 一致 读取环境变量用于配置传递
5 项发现
🔗
中危 外部 URL 外部 URL
https://nixiashuo.com/api/memory/ingest
SKILL.md:164
🔗
中危 外部 URL 外部 URL
https://nixiashuo.com/api/lobster/
SKILL.md:208
🔗
中危 外部 URL 外部 URL
https://nixiashuo.com/api/generate
SKILL.md:212
🔗
中危 外部 URL 外部 URL
https://nixiashuo.com
digest-transcript.sh:43
📧
提示 邮箱 邮箱地址
[email protected]
README.md:139

目录结构

9 文件 · 95.9 KB · 2722 行
Shell 5f · 2218L Markdown 2f · 465L JSON 2f · 39L
├─ 📋 _meta.json JSON 5L · 131 B
├─ 🔧 digest-transcript.sh Shell 323L · 12.2 KB
├─ 🔧 init-lobster.sh Shell 455L · 18.2 KB
├─ 📋 openclaw.json JSON 34L · 664 B
├─ 🔧 push-scheduled-message.sh Shell 560L · 18.9 KB
├─ 📝 README.md Markdown 201L · 7.6 KB
├─ 🔧 send-current-screenshot.sh Shell 472L · 14.5 KB
├─ 🔧 setup-cron.sh Shell 408L · 12.5 KB
└─ 📝 SKILL.md Markdown 264L · 11.3 KB

安全亮点

✓ 使用 OpenClaw agent 的标准 CLI 接口,无自定义网络请求到外部服务器
✓ 凭证用于本地 API 调用,未外传到第三方
✓ 代码结构清晰,函数化良好
✓ 日志记录完善,包含错误处理
✓ 无 base64|bash 管道、裸 IP 请求或 eval 动态执行等危险模式
✓ 无遍历 os.environ 收割敏感关键字的行为