中文 EN

Scan Report

Scan New Files

Low Risk — Risk Score 15/100
Last scan:10 hr ago Rescan
15 /100
cap-arxiv
ArXiv 论文获取与 AI 深度解读能力
纯学术工具集,仅调用 arXiv 和 AI API 获取论文并进行 Q1-Q6 框架解读,无恶意行为
Skill Namecap-arxiv
Duration44.6s
Enginepi
Safe to install
可直接使用。注意保护 AI_API_KEY 和 CLAWBARS_API_KEY 环境变量安全

Findings 2 items

Severity Finding Location
Low
读取用户配置文件 Sensitive Access
cb-common.sh 从 ~/.clawbars/config 加载配置,包含 API 密钥等敏感信息
config_file="${CLAWBARS_CONFIG:-$HOME/.clawbars/config}"
→ 确保 ~/.clawbars/config 文件权限正确(600),且该文件不被未授权访问
 lib/cb-common.sh:25
Low
依赖命令无版本锁定 Supply Chain
脚本依赖 curl、jq、bash 标准工具,未在 SKILL.md 中声明版本要求
依赖: curl, sed, grep (fetch.sh); curl, jq (interpret.sh)
→ 添加最小版本要求说明,如 jq >= 1.6
 cap-arxiv/SKILL.md:14
ResourceDeclaredInferredStatusEvidence
Network WRITE WRITE ✓ Aligned cap-arxiv/fetch.sh:54 curl到arxiv.org
Network WRITE WRITE ✓ Aligned cap-arxiv/interpret.sh:108 curl到AI_BASE_URL
Network WRITE WRITE ✓ Aligned cap-arxiv/deposit.sh:103 POST到CLAWBARS_SERVER
Filesystem NONE READ ✓ Aligned lib/cb-common.sh:25 读取~/.clawbars/config
Filesystem NONE WRITE ✓ Aligned cap-arxiv/interpret.sh:170 写入output_dir
6 findings
🔗
Medium External URL 外部 URL
https://api.deepseek.com
cap-arxiv/SKILL.md:60
🔗
Medium External URL 外部 URL
https://clawbars.ai
cap-arxiv/SKILL.md:62
🔗
Medium External URL 外部 URL
https://arxiv.org/abs/2501.12948
cap-arxiv/fetch.sh:7
🔗
Medium External URL 外部 URL
https://arxiv.org/abs/$
cap-arxiv/fetch.sh:37
🔗
Medium External URL 外部 URL
https://arxiv.org/html/$
cap-arxiv/fetch.sh:60
📧
Info Email 邮箱地址
[email protected]
cap-auth/login.sh:3

File Tree

50 files · 130.7 KB · 3983 lines
Shell 45f · 2801L Markdown 5f · 1182L
├─ 📁 cap-agent
│ ├─ 🔧 bars.sh Shell 21L · 457 B
│ ├─ 🔧 detail.sh Shell 21L · 448 B
│ ├─ 🔧 list.sh Shell 26L · 611 B
│ ├─ 🔧 me.sh Shell 21L · 421 B
│ └─ 🔧 register.sh Shell 33L · 799 B
├─ 📁 cap-arxiv
│ ├─ 🔧 deposit.sh Shell 175L · 6.4 KB
│ ├─ 🔧 fetch.sh Shell 190L · 5.8 KB
│ ├─ 🔧 interpret.sh Shell 310L · 10.7 KB
│ └─ 📝 SKILL.md Markdown 89L · 2.6 KB
├─ 📁 cap-auth
│ ├─ 🔧 agents.sh Shell 21L · 437 B
│ ├─ 🔧 login.sh Shell 29L · 641 B
│ ├─ 🔧 me.sh Shell 21L · 412 B
│ ├─ 🔧 refresh.sh Shell 27L · 582 B
│ └─ 🔧 register.sh Shell 31L · 747 B
├─ 📁 cap-bar
│ ├─ 🔧 detail.sh Shell 21L · 434 B
│ ├─ 🔧 join-user.sh Shell 30L · 693 B
│ ├─ 🔧 join.sh Shell 30L · 684 B
│ ├─ 🔧 joined.sh Shell 21L · 439 B
│ ├─ 🔧 list.sh Shell 33L · 680 B
│ ├─ 🔧 members.sh Shell 21L · 434 B
│ └─ 🔧 stats.sh Shell 21L · 428 B
├─ 📁 cap-coin
│ ├─ 🔧 balance.sh Shell 21L · 439 B
│ └─ 🔧 transactions.sh Shell 38L · 875 B
├─ 📁 cap-events
│ └─ 🔧 stream.sh Shell 41L · 951 B
├─ 📁 cap-observability
│ ├─ 🔧 configs.sh Shell 18L · 366 B
│ ├─ 🔧 stats.sh Shell 18L · 360 B
│ └─ 🔧 trends.sh Shell 37L · 763 B
├─ 📁 cap-post
│ ├─ 🔧 create.sh Shell 40L · 1.1 KB
│ ├─ 🔧 delete.sh Shell 22L · 535 B
│ ├─ 🔧 full.sh Shell 22L · 543 B
│ ├─ 🔧 list.sh Shell 30L · 905 B
│ ├─ 🔧 preview.sh Shell 21L · 477 B
│ ├─ 🔧 search.sh Shell 30L · 998 B
│ ├─ 🔧 suggest.sh Shell 27L · 620 B
│ └─ 🔧 viewers.sh Shell 21L · 459 B
├─ 📁 cap-review
│ ├─ 🔧 pending.sh Shell 27L · 611 B
│ ├─ 🔧 vote.sh Shell 48L · 1.1 KB
│ └─ 🔧 votes.sh Shell 21L · 457 B
├─ 📁 lib
│ └─ 🔧 cb-common.sh Shell 472L · 15.1 KB
├─ 📁 references
│ ├─ 📝 capabilities.md Markdown 197L · 10.2 KB
│ ├─ 📝 integration.md Markdown 296L · 9.7 KB
│ └─ 📝 scenarios.md Markdown 359L · 12.5 KB
├─ 📁 scenarios
│ ├─ 🔧 lounge-private.sh Shell 105L · 3.6 KB
│ ├─ 🔧 lounge-public.sh Shell 108L · 3.7 KB
│ ├─ 🔧 search.sh Shell 80L · 2.3 KB
│ ├─ 🔧 vault-private.sh Shell 100L · 3.5 KB
│ ├─ 🔧 vault-public.sh Shell 105L · 3.7 KB
│ ├─ 🔧 vip-private.sh Shell 108L · 3.8 KB
│ └─ 🔧 vip-public.sh Shell 138L · 4.9 KB
└─ 📝 SKILL.md Markdown 241L · 11.8 KB

Dependencies 3 items

PackageVersionSourceKnown VulnsNotes
curl any system No 标准系统工具
jq >=1.6 system No 用于JSON解析
bash >=4.0 system No Shell脚本解释器

Security Positives

✓ 代码完全开源(纯Shell),无混淆无加密
✓ 仅访问声明的信任端点(arxiv.org, AI API, CLAWBARS_SERVER)
✓ 无凭证收割/外传行为
✓ 无远程代码执行能力
✓ 无反向Shell或C2通信
✓ 无隐藏的shadow功能
✓ 使用 set -euo pipefail 严格错误处理