Name: math-arithmetic-ocr 安全扫描报告 — 低风险 | ClawSafe
Item: math-arithmetic-ocr
Rating: 85
Author: ClawSafe

15 /100

math-arithmetic-ocr

识别图片中的K12算式（加减乘除、竖式计算、分数、方程等），返回结构化文本结果

纯OCR识别工具，代码行为与声明基本一致，存在轻微文档偏差和依赖版本未锁定问题

技能名称math-arithmetic-ocr

分析耗时29.1s

引擎pi

ClawHub arithmetic-orc v1.0.0 by hzheigege

📥 174

ClawHub 判定可疑 env_credential_accessllm_suspicious

✓

可以安装

建议修复 SKILL.md 中 file.read 权限声明（实际未使用），考虑锁定 axios 版本

安全发现 2 项

严重性	安全发现	位置
低危	声明的 file.read 权限未在代码中使用文档欺骗 SKILL.md 声称需要 file.read 权限以支持读取本地图片路径，但 index.js 仅处理 imageBase64 和 imageUrl 参数，未实现任何文件系统操作 - `file.read`：如果用户提供本地图片路径（需先读取文件） → 从权限声明中移除 file.read，或在代码中实现该功能	`SKILL.md:38`
低危	axios 依赖版本未锁定供应链 package.json 中 axios 使用 ^1.6.0，允许次要版本更新 `"axios": "^1.6.0"` → 考虑锁定为精确版本如 [email protected] 以避免供应链攻击	`package.json:7`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`NONE`	✓ 一致	SKILL.md:38 声明 file.read，但 index.js 未实现任何文件读取
网络访问	`READ`	`READ`	✓ 一致	index.js:94 仅访问 https://ocr.tencentcloudapi.com

1 项发现

🔗

中危外部 URL 外部 URL

https://ocr.tencentcloudapi.com

index.js:103

目录结构

4 文件 · 10.1 KB · 332 行

JavaScript 1f · 203L Markdown 1f · 73L JSON 2f · 56L

├─ 📜 index.js JavaScript 203L · 6.1 KB

├─ 📋 package.json JSON 12L · 237 B

├─ 📋 plugin.json JSON 44L · 1.4 KB

└─ 📝 SKILL.md Markdown 73L · 2.4 KB

包名	版本	来源	已知漏洞	备注
`axios`	`^1.6.0`	npm	否	无版本锁定，允许次要版本更新

✓ 代码结构清晰，逻辑简单易懂

✓ 仅使用标准库 crypto 和 axios，无复杂依赖

✓ 所有网络请求仅指向官方腾讯云 API 域名

✓ 无恶意行为：shell执行、凭证收割、数据外泄、代码混淆等

✓ 凭证仅用于构造 API 签名，不外传

✓ 错误处理完善