中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 20/100
上次扫描:5 小时前 重新扫描
20 /100
dynamic-model-router
动态模型路由技能 - 智能路由任务到最佳AI模型
这是一个合法的AI模型智能路由工具,代码实现与文档描述一致,无恶意行为,仅存在轻微的文档-实现不一致(未声明文件系统写入)
技能名称dynamic-model-router
分析耗时58.4s
引擎pi
ClawHub Dynamic Model Router v0.1.0 by skynet-jawol
📥 185
ClawHub 判定 可疑 env_credential_accessllm_suspiciouspotential_exfiltrationvt_suspicious
可以安装
技能可安全使用,建议完善文档以明确声明文件系统WRITE权限用于配置存储

安全发现 2 项

严重性 安全发现 位置
低危
文档未声明文件系统写入权限 文档欺骗
SKILL.md声称'本地处理,不泄露用户数据',但未明确说明会写入本地配置文件。代码中ConfigManager和BasicStorage会创建和写入配置文件到~/.openclaw/目录。
文档未提及任何文件系统操作
→ 建议在文档的'安全与隐私'部分明确说明:'本地存储路由决策历史和配置数据'
 SKILL.md:1
低危
依赖版本锁定不严格 供应链
package.json中依赖使用^符号(如^5.1.6, ^3.11.0),允许次版本更新,可能引入不兼容更改
"sqlite3": "^5.1.6"
→ 建议使用精确版本或锁定主版本:"sqlite3": "5.1.6"
 package.json:48
资源类型声明权限推断权限状态证据
文件系统 NONE WRITE ✓ 一致 src/utils/config.ts:41-50 使用fs模块读写~/.openclaw/dynamic-router/下的配置文件
网络访问 NONE NONE 代码中无任何网络请求
命令执行 NONE NONE 代码中无任何shell执行
环境变量 NONE READ ✓ 一致 src/utils/config.ts:271 读取LOG_LEVEL、NODE_ENV等环境变量用于配置
18 项发现
🔗
中危 外部 URL 外部 URL
https://keepachangelog.com/zh-CN/1.0.0/
CHANGELOG.md:5
🔗
中危 外部 URL 外部 URL
https://semver.org/lang/zh-CN/
CHANGELOG.md:6
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/License-MIT-yellow.svg
README.md:3
🔗
中危 外部 URL 外部 URL
https://opensource.org/licenses/MIT
README.md:3
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/OpenClaw-Skill-blue
README.md:4
🔗
中危 外部 URL 外部 URL
https://clawhub.com
README.md:4
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/TypeScript-5.0-blue
README.md:5
🔗
中危 外部 URL 外部 URL
https://www.typescriptlang.org/
README.md:5
🔗
中危 外部 URL 外部 URL
https://openclaw.ai
README.md:329
🔗
中危 外部 URL 外部 URL
https://docs.openclaw.ai
README.md:336
🔗
中危 外部 URL 外部 URL
https://discord.com/invite/clawd
README.md:337
🔗
中危 外部 URL 外部 URL
https://api.deepseek.com
src/index.ts:291
🔗
中危 外部 URL 外部 URL
https://api.minimax.chat
src/index.ts:312
🔗
中危 外部 URL 外部 URL
https://api.mistral.ai/v1
src/openclaw/provider-discovery.ts:333
🔗
中危 外部 URL 外部 URL
https://api.cohere.ai
src/openclaw/provider-discovery.ts:334
🔗
中危 外部 URL 外部 URL
https://api.minimax.chat/v1
src/openclaw/provider-discovery.ts:335
🔗
中危 外部 URL 外部 URL
https://dashscope.aliyuncs.com/compatible-mode/v1
src/openclaw/provider-discovery.ts:336
🔗
中危 外部 URL 外部 URL
https://api.baichuan-ai.com/v1
src/openclaw/provider-discovery.ts:337

目录结构

50 文件 · 421.2 KB · 15059 行
TypeScript 37f · 13493L Markdown 3f · 774L JavaScript 7f · 568L JSON 3f · 224L
├─ 📁 src
│ ├─ 📁 core
│ │ └─ 📜 types.ts TypeScript 179L · 3.4 KB
│ ├─ 📁 learning
│ │ └─ 📜 basic-learner.ts TypeScript 824L · 24.1 KB
│ ├─ 📁 openclaw
│ │ ├─ 📜 index.ts TypeScript 8L · 231 B
│ │ ├─ 📜 model-adapter.ts TypeScript 486L · 12.6 KB
│ │ ├─ 📜 openclaw-invoker.ts TypeScript 686L · 19.1 KB
│ │ ├─ 📜 provider-discovery.ts TypeScript 610L · 16.7 KB
│ │ ├─ 📜 status-monitor.ts TypeScript 733L · 19.9 KB
│ │ └─ 📜 types.ts TypeScript 162L · 2.9 KB
│ ├─ 📁 routing
│ │ ├─ 📜 decision-engine.ts TypeScript 1517L · 45.1 KB
│ │ ├─ 📜 performance-predictor.ts TypeScript 583L · 18.0 KB
│ │ ├─ 📜 task-analyzer.ts TypeScript 1380L · 41.1 KB
│ │ └─ 📜 types.ts TypeScript 443L · 8.8 KB
│ ├─ 📁 storage
│ │ └─ 📜 basic-storage.ts TypeScript 1228L · 35.4 KB
│ ├─ 📁 utils
│ │ ├─ 📜 config.ts TypeScript 413L · 11.1 KB
│ │ ├─ 📜 index.ts TypeScript 379L · 10.2 KB
│ │ └─ 📜 logger.ts TypeScript 265L · 6.4 KB
│ └─ 📜 index.ts TypeScript 668L · 17.8 KB
├─ 📁 tests
│ ├─ 📁 __mocks__
│ │ └─ 📜 basic-storage.ts TypeScript 73L · 2.2 KB
│ ├─ 📁 integration
│ │ ├─ 📜 decision-engine-integration.test.ts TypeScript 440L · 15.2 KB
│ │ ├─ 📜 modules-integration.test.ts TypeScript 656L · 19.5 KB
│ │ └─ 📜 storage-integration.test.ts TypeScript 442L · 13.9 KB
│ ├─ 📁 mocks
│ │ ├─ 📜 decision-engine-mock.d.ts TypeScript 83L · 2.4 KB
│ │ ├─ 📜 decision-engine-mock.js JavaScript 161L · 4.7 KB
│ │ ├─ 📜 decision-engine-mock.ts TypeScript 187L · 4.2 KB
│ │ ├─ 📜 storage-mock.d.ts TypeScript 18L · 717 B
│ │ ├─ 📜 storage-mock.js JavaScript 85L · 2.5 KB
│ │ └─ 📜 storage-mock.ts TypeScript 93L · 2.4 KB
│ ├─ 📜 import-test.test.ts TypeScript 29L · 945 B
│ ├─ 📜 minimal.test.ts TypeScript 34L · 1.0 KB
│ ├─ 📜 real-engine-simple.test.ts TypeScript 69L · 2.2 KB
│ ├─ 📜 simple-mock.test.ts TypeScript 76L · 2.1 KB
│ ├─ 📜 simple-test.test.ts TypeScript 57L · 1.7 KB
│ ├─ 📜 storage-config.test.ts TypeScript 54L · 1.7 KB
│ ├─ 📜 test-config.d.ts TypeScript 45L · 1.2 KB
│ ├─ 📜 test-config.js JavaScript 69L · 2.2 KB
│ ├─ 📜 test-config.ts TypeScript 78L · 2.1 KB
│ ├─ 📜 test-setup.d.ts TypeScript 13L · 264 B
│ ├─ 📜 test-setup.js JavaScript 50L · 1.3 KB
│ ├─ 📜 test-setup.ts TypeScript 70L · 1.4 KB
│ ├─ 📜 testmode-verification.test.ts TypeScript 57L · 1.8 KB
│ └─ 📜 utils.test.ts TypeScript 355L · 10.0 KB
├─ 📝 CHANGELOG.md Markdown 98L · 3.3 KB
├─ 📜 jest.config.js JavaScript 66L · 1.4 KB
├─ 📋 package.json JSON 64L · 1.6 KB
├─ 📝 README.md Markdown 340L · 8.4 KB
├─ 📋 skill.json JSON 128L · 3.4 KB
├─ 📝 SKILL.md Markdown 336L · 8.1 KB
├─ 📜 test-direct.js JavaScript 69L · 1.9 KB
├─ 📜 test-direct.mjs JavaScript 68L · 1.9 KB
└─ 📋 tsconfig.json JSON 32L · 741 B

依赖分析 3 项

包名版本来源已知漏洞备注
sqlite3 ^5.1.6 npm 数据库依赖,用于本地数据持久化
winston ^3.11.0 npm 日志库,用于结构化日志记录
debug ^4.3.4 npm 开发依赖

安全亮点

✓ 无网络请求,无数据外泄风险
✓ 无凭证收割或敏感信息访问
✓ 无代码混淆或Base64编码执行
✓ 无shell命令执行或RCE风险
✓ 代码结构清晰,使用TypeScript类型安全
✓ 实现了完整的错误处理和日志记录
✓ 存储模块支持测试模式,方便单元测试
✓ 所有敏感操作(文件IO)都有日志记录