Name: math-arithmetic-ocr Security Report — Low Risk | ClawSafe
Item: math-arithmetic-ocr
Rating: 85
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

15 /100

math-arithmetic-ocr

识别图片中的K12算式（加减乘除、竖式计算、分数、方程等），返回结构化文本结果

纯OCR识别工具，代码行为与声明基本一致，存在轻微文档偏差和依赖版本未锁定问题

Skill Namemath-arithmetic-ocr

Duration29.1s

Enginepi

ClawHub arithmetic-orc v1.0.0 by hzheigege

📥 174

ClawHub Verdict Suspicious env_credential_accessllm_suspicious

✓

Safe to install

建议修复 SKILL.md 中 file.read 权限声明（实际未使用），考虑锁定 axios 版本

Findings 2 items

Severity	Finding	Location
Low	声明的 file.read 权限未在代码中使用 Doc Mismatch SKILL.md 声称需要 file.read 权限以支持读取本地图片路径，但 index.js 仅处理 imageBase64 和 imageUrl 参数，未实现任何文件系统操作 - `file.read`：如果用户提供本地图片路径（需先读取文件） → 从权限声明中移除 file.read，或在代码中实现该功能	`SKILL.md:38`
Low	axios 依赖版本未锁定 Supply Chain package.json 中 axios 使用 ^1.6.0，允许次要版本更新 `"axios": "^1.6.0"` → 考虑锁定为精确版本如 [email protected] 以避免供应链攻击	`package.json:7`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`NONE`	✓ Aligned	SKILL.md:38 声明 file.read，但 index.js 未实现任何文件读取
Network	`READ`	`READ`	✓ Aligned	index.js:94 仅访问 https://ocr.tencentcloudapi.com

1 findings

🔗

Medium External URL 外部 URL

https://ocr.tencentcloudapi.com

index.js:103

File Tree

4 files · 10.1 KB · 332 lines

JavaScript 1f · 203L Markdown 1f · 73L JSON 2f · 56L

├─ 📜 index.js JavaScript 203L · 6.1 KB

├─ 📋 package.json JSON 12L · 237 B

├─ 📋 plugin.json JSON 44L · 1.4 KB

└─ 📝 SKILL.md Markdown 73L · 2.4 KB

Package	Version	Source	Known Vulns	Notes
`axios`	`^1.6.0`	npm	No	无版本锁定，允许次要版本更新

✓ 代码结构清晰，逻辑简单易懂

✓ 仅使用标准库 crypto 和 axios，无复杂依赖

✓ 所有网络请求仅指向官方腾讯云 API 域名

✓ 无恶意行为：shell执行、凭证收割、数据外泄、代码混淆等

✓ 凭证仅用于构造 API 签名，不外传

✓ 错误处理完善