中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Low Risk — Risk Score 15/100
Last scan:5 hr ago Rescan
15 /100
openclaw-usage-manager
Real-time usage dashboard and auto-switcher for dual Claude Max accounts
合法的 Claude Max 双账户使用监控和自动切换工具,所有敏感操作(凭证读写、API调用、认证文件修改)均有文档说明且用途合理。
Skill Nameopenclaw-usage-manager
Duration52.3s
Enginepi
ClawHub OpenClaw Usage Manager v1.1.0 by takao-mochizuki
📥 225
ClawHub Verdict Suspicious dangerous_execenv_credential_accessllm_suspiciouspotential_exfiltration
Safe to install
可安全使用。建议验证 1Password item ID 配置为真实值而非占位符。

Findings 3 items

Severity Finding Location
Low
安全审计声明缺乏实质证据 Doc Mismatch
SKILL.md 声称 'Security-audited by Claude Code + Codex',但代码中无任何审计痕迹、签名或验证机制。
**Security-audited**: Reviewed by Claude Code + Codex before release
→ 移除夸大的安全声明或提供实际审计报告链接
 SKILL.md:18
Info
读取认证配置文件实现账户切换 Sensitive Access
check.mjs 直接修改 ~/.openclaw/agents/main/agent/auth-profiles.json 以切换账户,功能需要但权限较高。
readFileSync(AUTH_FILE, 'utf-8')... auth.profiles['anthropic:default'].token = altToken
→ 确保此文件权限正确 (chmod 600),且操作仅在 needSwitch 条件满足时执行
 usage-switch/check.mjs:47
Info
使用 execSync 执行端口管理命令 Priv Escalation
server.mjs 使用 execSync 执行 lsof 和 kill 命令来管理端口占用,属于标准运维操作。
execSync(`lsof -ti:${PORT} | xargs kill 2>/dev/null`)
→ 命令固定且无害,可接受
 usage-dashboard/server.mjs:8
ResourceDeclaredInferredStatusEvidence
Filesystem WRITE WRITE ✓ Aligned check.mjs:9-11 readFileSync(TOKENS_FILE); server.mjs:147-157 读写 auth-profiles.js…
Network WRITE WRITE ✓ Aligned check.mjs:14-28 fetch() 调用 Anthropic API 检查使用率
Shell WRITE WRITE ✓ Aligned server.mjs:8 execSync 用于 lsof/kill 端口管理,属于标准运维操作
5 findings
🔗
Medium External URL 外部 URL
https://x.com/5dmgmt/status/2032770037728113118
README.md:18
🔗
Medium External URL 外部 URL
https://openclaw.ai
README.md:92
🔗
Medium External URL 外部 URL
https://developer.1password.com/docs/cli/
README.md:95
🔗
Medium External URL 外部 URL
https://x.com/5dmgmt
README.md:653
🔗
Medium External URL 外部 URL
https://5dmgmt.com
README.md:655

File Tree

7 files · 49.7 KB · 1333 lines
Markdown 2f · 738L JavaScript 2f · 293L HTML 1f · 248L Shell 2f · 54L
├─ 📁 usage-dashboard
│ ├─ 📄 index.html HTML 248L · 8.7 KB
│ └─ 📜 server.mjs JavaScript 210L · 5.8 KB
├─ 📁 usage-switch
│ ├─ 📜 check.mjs JavaScript 83L · 3.1 KB
│ ├─ 🔑 setup-tokens-simple.sh Shell 31L · 1.0 KB
│ └─ 🔑 setup-tokens.sh Shell 23L · 1.3 KB
├─ 📝 README.md Markdown 655L · 27.0 KB
└─ 📝 SKILL.md Markdown 83L · 2.8 KB

Dependencies 2 items

PackageVersionSourceKnown VulnsNotes
op (1Password CLI) latest external No 可选依赖,用于从 1Password 安全获取 token
Node.js >= 18 * system No 运行时依赖

Security Positives

✓ 所有敏感操作均有文档说明(SKILL.md 第7-11行)
✓ tokens.json 使用 chmod 600 保护(第22行 setup-tokens.sh)
✓ 使用原子写入 renameSync 防止文件损坏(check.mjs:52)
✓ Dashboard 仅绑定 localhost:18800,防止外部访问
✓ 实现了 CSRF token 验证(server.mjs:9, index.html:161)
✓ host 头验证防止 DNS 重绑定攻击(server.mjs:73-77)
✓ 请求方法限制为 POST(server.mjs:93)
✓ 代码结构清晰,无混淆或隐蔽行为