中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 15/100
上次扫描:5 小时前 重新扫描
15 /100
openclaw-usage-manager
Real-time usage dashboard and auto-switcher for dual Claude Max accounts
合法的 Claude Max 双账户使用监控和自动切换工具,所有敏感操作(凭证读写、API调用、认证文件修改)均有文档说明且用途合理。
技能名称openclaw-usage-manager
分析耗时52.3s
引擎pi
ClawHub OpenClaw Usage Manager v1.1.0 by takao-mochizuki
📥 225
ClawHub 判定 可疑 dangerous_execenv_credential_accessllm_suspiciouspotential_exfiltration
可以安装
可安全使用。建议验证 1Password item ID 配置为真实值而非占位符。

安全发现 3 项

严重性 安全发现 位置
低危
安全审计声明缺乏实质证据 文档欺骗
SKILL.md 声称 'Security-audited by Claude Code + Codex',但代码中无任何审计痕迹、签名或验证机制。
**Security-audited**: Reviewed by Claude Code + Codex before release
→ 移除夸大的安全声明或提供实际审计报告链接
 SKILL.md:18
提示
读取认证配置文件实现账户切换 敏感访问
check.mjs 直接修改 ~/.openclaw/agents/main/agent/auth-profiles.json 以切换账户,功能需要但权限较高。
readFileSync(AUTH_FILE, 'utf-8')... auth.profiles['anthropic:default'].token = altToken
→ 确保此文件权限正确 (chmod 600),且操作仅在 needSwitch 条件满足时执行
 usage-switch/check.mjs:47
提示
使用 execSync 执行端口管理命令 权限提升
server.mjs 使用 execSync 执行 lsof 和 kill 命令来管理端口占用,属于标准运维操作。
execSync(`lsof -ti:${PORT} | xargs kill 2>/dev/null`)
→ 命令固定且无害,可接受
 usage-dashboard/server.mjs:8
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 check.mjs:9-11 readFileSync(TOKENS_FILE); server.mjs:147-157 读写 auth-profiles.js…
网络访问 WRITE WRITE ✓ 一致 check.mjs:14-28 fetch() 调用 Anthropic API 检查使用率
命令执行 WRITE WRITE ✓ 一致 server.mjs:8 execSync 用于 lsof/kill 端口管理,属于标准运维操作
5 项发现
🔗
中危 外部 URL 外部 URL
https://x.com/5dmgmt/status/2032770037728113118
README.md:18
🔗
中危 外部 URL 外部 URL
https://openclaw.ai
README.md:92
🔗
中危 外部 URL 外部 URL
https://developer.1password.com/docs/cli/
README.md:95
🔗
中危 外部 URL 外部 URL
https://x.com/5dmgmt
README.md:653
🔗
中危 外部 URL 外部 URL
https://5dmgmt.com
README.md:655

目录结构

7 文件 · 49.7 KB · 1333 行
Markdown 2f · 738L JavaScript 2f · 293L HTML 1f · 248L Shell 2f · 54L
├─ 📁 usage-dashboard
│ ├─ 📄 index.html HTML 248L · 8.7 KB
│ └─ 📜 server.mjs JavaScript 210L · 5.8 KB
├─ 📁 usage-switch
│ ├─ 📜 check.mjs JavaScript 83L · 3.1 KB
│ ├─ 🔑 setup-tokens-simple.sh Shell 31L · 1.0 KB
│ └─ 🔑 setup-tokens.sh Shell 23L · 1.3 KB
├─ 📝 README.md Markdown 655L · 27.0 KB
└─ 📝 SKILL.md Markdown 83L · 2.8 KB

依赖分析 2 项

包名版本来源已知漏洞备注
op (1Password CLI) latest external 可选依赖,用于从 1Password 安全获取 token
Node.js >= 18 * system 运行时依赖

安全亮点

✓ 所有敏感操作均有文档说明(SKILL.md 第7-11行)
✓ tokens.json 使用 chmod 600 保护(第22行 setup-tokens.sh)
✓ 使用原子写入 renameSync 防止文件损坏(check.mjs:52)
✓ Dashboard 仅绑定 localhost:18800,防止外部访问
✓ 实现了 CSRF token 验证(server.mjs:9, index.html:161)
✓ host 头验证防止 DNS 重绑定攻击(server.mjs:73-77)
✓ 请求方法限制为 POST(server.mjs:93)
✓ 代码结构清晰,无混淆或隐蔽行为