daily-briefing Security Report — Trusted | ClawSafe

5 /100

daily-briefing

Generate daily morning briefings with weather, traffic limits, and news

合法的每日晨报生成工具，使用curl从公开API获取天气和新闻数据，无凭证收割、远程执行或数据外泄行为

Skill Namedaily-briefing

Duration38.4s

Enginepi

✓

Safe to install

可安全使用，建议在生产环境前验证网络连通性

Findings 3 items

Severity	Finding	Location
Low	网络行为部分未声明 SKILL.md声明使用'Kimi Search 实时搜索'获取新闻，但news-collector.mjs使用curl直接抓取163.com/sina.com.cn/sohu.com并用cheerio解析HTML，属于文档-行为差异 `fetchWithCurl('https://news.163.com')` → 更新SKILL.md的Data Sources表格，补充网页抓取获取新闻的方式	`scripts/news-collector.mjs:55`
Info	execSync curl调用 data-collector.mjs和news-collector.mjs使用execSync执行curl命令获取数据，属于声明范围内的合法工具用途 `execSync(cmd, { encoding: 'utf8', timeout: 10000 })` → 可接受，考虑使用原生fetch API替代execSync提升安全性	`scripts/data-collector.mjs:45, scripts/news-collector.mjs:45`
Info	第三方依赖cheerio news-collector.mjs依赖cheerio^1.2.0用于HTML解析，无已知漏洞 `"cheerio": "^1.2.0"` → 无风险，继续使用	`package.json:10`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`WRITE`	✓ Aligned	scripts/data-collector.mjs:25-27 创建缓存目录
Network	`READ`	`READ`	✓ Aligned	访问 wttr.in、news.163.com、news.sina.com.cn、www.sohu.com
Shell	`NONE`	`WRITE`	✓ Aligned	execSync(curl) 用于获取天气和新闻数据，属于合法工具用途
Skill Invoke	`READ`	`READ`	✓ Aligned	scripts/news-search.mjs 调用 kimi_search

10 findings

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/node-%3E%3D18.0.0-brightgreen

README.md:3

🔗

Medium External URL 外部 URL

https://nodejs.org/

README.md:3

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/license-MIT-blue

README.md:4

🔗

Medium External URL 外部 URL

https://news.163.com$

scripts/news-collector.mjs:56

🔗

Medium External URL 外部 URL

https://news.sina.com.cn$

scripts/news-collector.mjs:81

🔗

Medium External URL 外部 URL

https://www.sohu.com$

scripts/news-collector.mjs:106

🔗

Medium External URL 外部 URL

https://news.163.com

scripts/news-collector.mjs:162

🔗

Medium External URL 外部 URL

https://news.sina.com.cn

scripts/news-collector.mjs:163

🔗

Medium External URL 外部 URL

https://www.sohu.com

scripts/news-collector.mjs:164

📧

Info Email 邮箱地址

[email protected]

README.md:178

File Tree

10 files · 54.8 KB · 1783 lines

JavaScript 4f · 1031L Markdown 2f · 386L JSON 3f · 334L YAML 1f · 32L

├─ ▾ 📁 scripts

│ ├─ 📜 data-collector.mjs JavaScript 372L · 11.3 KB

│ ├─ 📜 generate-briefing.mjs JavaScript 187L · 5.3 KB

│ ├─ 📜 news-collector.mjs JavaScript 295L · 8.6 KB

│ └─ 📜 news-search.mjs JavaScript 177L · 4.9 KB

├─ 📋 _meta.json JSON 5L · 132 B

├─ 📋 manifest.yaml YAML 32L · 744 B

├─ 📋 package-lock.json JSON 313L · 11.0 KB

├─ 📋 package.json JSON 16L · 440 B

├─ 📝 README.md Markdown 219L · 6.3 KB

└─ 📝 SKILL.md Markdown 167L · 6.0 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`cheerio`	`^1.2.0`	npm	No	HTML解析库，版本锁定

Security Positives

✓ 无凭证收割行为（不访问~/.ssh、~/.aws、.env）

✓ 无数据外泄行为（不向外部IP发送数据）

✓ 无远程代码执行（无eval、base64解码、bash管道等危险操作）

✓ curl命令使用固定URL，无命令注入风险

✓ 缓存机制避免重复网络请求，提升效率

✓ 代码结构清晰，模块职责明确

Scan Report

Findings 3 items

File Tree

Dependencies 1 items

Security Positives