中文 EN

Scan Report

Scan New Files

Low Risk — Risk Score 25/100
Last scan:9 hr ago Rescan
25 /100
debunk
事实核查与辟谣工具,对用户提供的内容进行事实核查并生成回复话术
事实核查工具,核心功能清晰且与文档一致,但存在依赖版本未锁定等轻微瑕疵
Skill Namedebunk
Duration42.6s
Enginepi
Safe to install
可安全使用。建议锁定 playwright 版本以避免供应链风险

Findings 2 items

Severity Finding Location
Low
playwright 依赖未锁定版本 Supply Chain
package.json 中 playwright 使用 ^1.59.1,允许安装 1.x.y 系列任意版本,可能引入恶意或漏洞版本
"playwright": "^1.59.1"
→ 使用精确版本 "1.59.1" 或锁定到安全版本
 package.json:3
Low
缺少 _meta.json 元数据文件 Doc Mismatch
技能目录缺少 _meta.json,无法验证技能的签名和完整性
文件不存在
→ 添加 _meta.json 包含技能版本、作者、签名等信息
 _meta.json
ResourceDeclaredInferredStatusEvidence
Filesystem READ READ ✓ Aligned SKILL.md 声明使用 node 执行脚本读取文件
Network READ READ ✓ Aligned fetch-url.js 使用 Playwright 抓取 URL,SKILL.md 声明 web_fetch/web_search
Shell WRITE WRITE ✓ Aligned SKILL.md 明确声明 node ~/.openclaw/skills/debunk/scripts/fetch-url.js
1 High 2 findings
📡
High IP Address 硬编码 IP 地址
131.0.0.0
scripts/fetch-url.js:56
🔗
Medium External URL 外部 URL
https://clawhub.com/skills/debunk
SKILL.md:5

File Tree

3 files · 13.6 KB · 366 lines
Markdown 1f · 256L JavaScript 1f · 105L JSON 1f · 5L
├─ 📁 scripts
│ └─ 📜 fetch-url.js JavaScript 105L · 3.7 KB
├─ 📋 package.json JSON 5L · 59 B
└─ 📝 SKILL.md Markdown 256L · 9.8 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
playwright ^1.59.1 npm No 使用范围版本,存在供应链风险

Security Positives

✓ 功能与 SKILL.md 文档完全一致,无阴影功能
✓ 包含完善的 SSRF 防护机制(阻止内网 IP、localhost、私有地址)
✓ 使用 Playwright 模拟真实浏览器抓取反爬网站,合法的功能实现
✓ 无凭证收割、文件外泄、远程代码执行等恶意行为
✓ 代码结构清晰,有错误处理和输入验证