debunk 安全扫描报告 — 低风险 | ClawSafe

25 /100

debunk

事实核查与辟谣工具，对用户提供的内容进行事实核查并生成回复话术

事实核查工具，核心功能清晰且与文档一致，但存在依赖版本未锁定等轻微瑕疵

技能名称debunk

分析耗时42.6s

引擎pi

✓

可以安装

可安全使用。建议锁定 playwright 版本以避免供应链风险

安全发现 2 项

严重性	安全发现	位置
低危	playwright 依赖未锁定版本供应链 package.json 中 playwright 使用 ^1.59.1，允许安装 1.x.y 系列任意版本，可能引入恶意或漏洞版本 `"playwright": "^1.59.1"` → 使用精确版本 "1.59.1" 或锁定到安全版本	`package.json:3`
低危	缺少 _meta.json 元数据文件文档欺骗技能目录缺少 _meta.json，无法验证技能的签名和完整性 `文件不存在` → 添加 _meta.json 包含技能版本、作者、签名等信息	`_meta.json`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	SKILL.md 声明使用 node 执行脚本读取文件
网络访问	`READ`	`READ`	✓ 一致	fetch-url.js 使用 Playwright 抓取 URL，SKILL.md 声明 web_fetch/web_search
命令执行	`WRITE`	`WRITE`	✓ 一致	SKILL.md 明确声明 node ~/.openclaw/skills/debunk/scripts/fetch-url.js

1 高危 2 项发现

📡

高危 IP 地址硬编码 IP 地址

131.0.0.0

scripts/fetch-url.js:56

🔗

中危外部 URL 外部 URL

https://clawhub.com/skills/debunk

SKILL.md:5

3 文件 · 13.6 KB · 366 行

Markdown 1f · 256L JavaScript 1f · 105L JSON 1f · 5L

├─ ▾ 📁 scripts

│ └─ 📜 fetch-url.js JavaScript 105L · 3.7 KB

├─ 📋 package.json JSON 5L · 59 B

└─ 📝 SKILL.md Markdown 256L · 9.8 KB

包名	版本	来源	已知漏洞	备注
`playwright`	`^1.59.1`	npm	否	使用范围版本，存在供应链风险

✓ 功能与 SKILL.md 文档完全一致，无阴影功能

✓ 包含完善的 SSRF 防护机制（阻止内网 IP、localhost、私有地址）

✓ 使用 Playwright 模拟真实浏览器抓取反爬网站，合法的功能实现

✓ 无凭证收割、文件外泄、远程代码执行等恶意行为

✓ 代码结构清晰，有错误处理和输入验证