fanli Security Report — Trusted | ClawSafe

5 /100

fanli

省钱购物助手 - 商品转链、跨平台比价、历史价格走势查询

标准电商转链比价工具，代码行为与文档声明一致，无越权或可疑操作

Skill Namefanli

Duration30.9s

Enginepi

✓

Safe to install

可安全使用。注意：该技能依赖外部 fx-base 库，需确保 fx-base 同样可信后再使用。

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md:8 - Read({baseDir}/); SKILL.md:8 - Read({baseDir}/../fx-base/)
Shell	`WRITE`	`WRITE`	✓ Aligned	SKILL.md:8 - Bash(node {baseDir}/scripts/run.mjs:*); 实际仅通过 Node.js spawn 执行本地脚本
Network	`READ`	`READ`	✓ Aligned	SKILL.md:25 声明数据发送到 api-ai-brain.fenxianglife.com；scripts/convert.mjs:59 通过 fxPo…

10 findings

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/ClawHub-fanli-blue

README.md:3

🔗

Medium External URL 外部 URL

https://clawhub.ai/fangshan101-coder/fanli

README.md:3

🔗

Medium External URL 外部 URL

https://platform.fenxiang-ai.com/docs

README.md:21

🔗

Medium External URL 外部 URL

https://u.jd.com/xxx

README.md:40

🔗

Medium External URL 外部 URL

https://platform.fenxiang-ai.com/

SKILL.md:24

🔗

Medium External URL 外部 URL

https://api-ai-brain.fenxianglife.com

SKILL.md:25

🔗

Medium External URL 外部 URL

https://e.tb.cn/h.iWHhFu8oHNytYbb

references/convert-output.md:91

🔗

Medium External URL 外部 URL

https://img.alicdn.com/bao/uploaded/i3/3937219703/O1CN01C9uNI52LY28zuHGyn.jpg

references/convert-output.md:101

🔗

Medium External URL 外部 URL

https://s.click.taobao.com/na6oIkm

references/convert-output.md:117

🔗

Medium External URL 外部 URL

https://e.tb.cn/h.xxx

scripts/compare-price.mjs:34

File Tree

8 files · 23.1 KB · 736 lines

Markdown 4f · 371L JavaScript 3f · 360L JSON 1f · 5L

├─ ▾ 📁 references

│ ├─ 📝 compare-price-output.md Markdown 39L · 1.1 KB

│ └─ 📝 convert-output.md Markdown 148L · 4.5 KB

├─ ▾ 📁 scripts

│ ├─ 📜 compare-price.mjs JavaScript 116L · 3.6 KB

│ ├─ 📜 convert.mjs JavaScript 112L · 3.3 KB

│ └─ 📜 run.mjs JavaScript 132L · 3.9 KB

├─ 📋 _meta.json JSON 5L · 124 B

├─ 📝 README.md Markdown 87L · 2.0 KB

└─ 📝 SKILL.md Markdown 97L · 4.6 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`fx-base`	`未指定`	外部包	No	必须依赖 fx-base/scripts/fx-api.mjs，该模块未随本包分发，需单独安装验证

Security Positives

✓ SKILL.md 完整声明数据流向（商品链接发送到 fenxianglife.com）

✓ allowed-tools 与实际使用完全匹配（Bash 执行脚本 + Read 读取模板）

✓ 代码逻辑清晰，无隐蔽操作或阴影功能

✓ 仅依赖 Node.js 内置模块，无第三方依赖引入风险

✓ 无凭证收割、远程代码执行、敏感路径访问等高危行为

Scan Report

File Tree

Dependencies 1 items

Security Positives