daily-briefing 安全扫描报告 — 可信 | ClawSafe

5 /100

daily-briefing

Generate daily morning briefings with weather, traffic limits, and news

合法的每日晨报生成工具，使用curl从公开API获取天气和新闻数据，无凭证收割、远程执行或数据外泄行为

技能名称daily-briefing

分析耗时38.4s

引擎pi

✓

可以安装

可安全使用，建议在生产环境前验证网络连通性

安全发现 3 项

严重性	安全发现	位置
低危	网络行为部分未声明 SKILL.md声明使用'Kimi Search 实时搜索'获取新闻，但news-collector.mjs使用curl直接抓取163.com/sina.com.cn/sohu.com并用cheerio解析HTML，属于文档-行为差异 `fetchWithCurl('https://news.163.com')` → 更新SKILL.md的Data Sources表格，补充网页抓取获取新闻的方式	`scripts/news-collector.mjs:55`
提示	execSync curl调用 data-collector.mjs和news-collector.mjs使用execSync执行curl命令获取数据，属于声明范围内的合法工具用途 `execSync(cmd, { encoding: 'utf8', timeout: 10000 })` → 可接受，考虑使用原生fetch API替代execSync提升安全性	`scripts/data-collector.mjs:45, scripts/news-collector.mjs:45`
提示	第三方依赖cheerio news-collector.mjs依赖cheerio^1.2.0用于HTML解析，无已知漏洞 `"cheerio": "^1.2.0"` → 无风险，继续使用	`package.json:10`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`WRITE`	✓ 一致	scripts/data-collector.mjs:25-27 创建缓存目录
网络访问	`READ`	`READ`	✓ 一致	访问 wttr.in、news.163.com、news.sina.com.cn、www.sohu.com
命令执行	`NONE`	`WRITE`	✓ 一致	execSync(curl) 用于获取天气和新闻数据，属于合法工具用途
技能调用	`READ`	`READ`	✓ 一致	scripts/news-search.mjs 调用 kimi_search

10 项发现

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/node-%3E%3D18.0.0-brightgreen

README.md:3

🔗

中危外部 URL 外部 URL

https://nodejs.org/

README.md:3

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/license-MIT-blue

README.md:4

🔗

中危外部 URL 外部 URL

https://news.163.com$

scripts/news-collector.mjs:56

🔗

中危外部 URL 外部 URL

https://news.sina.com.cn$

scripts/news-collector.mjs:81

🔗

中危外部 URL 外部 URL

https://www.sohu.com$

scripts/news-collector.mjs:106

🔗

中危外部 URL 外部 URL

https://news.163.com

scripts/news-collector.mjs:162

🔗

中危外部 URL 外部 URL

https://news.sina.com.cn

scripts/news-collector.mjs:163

🔗

中危外部 URL 外部 URL

https://www.sohu.com

scripts/news-collector.mjs:164

📧

提示邮箱邮箱地址

[email protected]

README.md:178

目录结构

10 文件 · 54.8 KB · 1783 行

JavaScript 4f · 1031L Markdown 2f · 386L JSON 3f · 334L YAML 1f · 32L

├─ ▾ 📁 scripts

│ ├─ 📜 data-collector.mjs JavaScript 372L · 11.3 KB

│ ├─ 📜 generate-briefing.mjs JavaScript 187L · 5.3 KB

│ ├─ 📜 news-collector.mjs JavaScript 295L · 8.6 KB

│ └─ 📜 news-search.mjs JavaScript 177L · 4.9 KB

├─ 📋 _meta.json JSON 5L · 132 B

├─ 📋 manifest.yaml YAML 32L · 744 B

├─ 📋 package-lock.json JSON 313L · 11.0 KB

├─ 📋 package.json JSON 16L · 440 B

├─ 📝 README.md Markdown 219L · 6.3 KB

└─ 📝 SKILL.md Markdown 167L · 6.0 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`cheerio`	`^1.2.0`	npm	否	HTML解析库，版本锁定

安全亮点

✓ 无凭证收割行为（不访问~/.ssh、~/.aws、.env）

✓ 无数据外泄行为（不向外部IP发送数据）

✓ 无远程代码执行（无eval、base64解码、bash管道等危险操作）

✓ curl命令使用固定URL，无命令注入风险

✓ 缓存机制避免重复网络请求，提升效率

✓ 代码结构清晰，模块职责明确