daily-idiom Security Report — Trusted | ClawSafe

5 /100

daily-idiom

每日成语/俗语学习工具，包含故事典故、用法例句、测验打卡功能

每日成语学习工具，代码功能与声明完全一致，无网络请求、无敏感操作、安全防护到位

Skill Namedaily-idiom

Duration28.5s

Enginepi

✓

Safe to install

此技能安全可靠，可直接使用

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	scripts/push-toggle.js:1-3 使用 fs 模块读写 data/users/ 目录
Network	`NONE`	`NONE`	—	代码中无任何 HTTP/HTTPS 请求
Shell	`NONE`	`NONE`	—	无 subprocess/spawn/exec 调用
Environment	`NONE`	`NONE`	—	无 os.environ 或 process.env 访问

1 findings

🔗

Medium External URL 外部 URL

https://openclaw.ai

README.md:5

File Tree

7 files · 9.8 KB · 214 lines

Markdown 2f · 114L JavaScript 3f · 85L JSON 2f · 15L

├─ ▾ 📁 scripts

│ ├─ 📜 evening-push.js JavaScript 18L · 1.3 KB

│ ├─ 📜 morning-push.js JavaScript 18L · 1.5 KB

│ └─ 📜 push-toggle.js JavaScript 49L · 3.5 KB

├─ 📋 _meta.json JSON 7L · 137 B

├─ 📋 package.json JSON 8L · 153 B

├─ 📝 README.md Markdown 53L · 1.6 KB

└─ 📝 SKILL.md Markdown 61L · 1.6 KB

✓ 输入验证完善：sanitizeId 限制 userId 为 128 字符的字母数字

✓ 路径穿越防护：safeUserPath 验证文件路径在 USERS_DIR 范围内

✓ 时间格式验证：sanitizeTime 确保时间格式 HH:MM 且合法

✓ channel 白名单：仅允许 telegram/feishu/slack/discord

✓ 无外部网络请求，攻击面为零

✓ 功能实现与 SKILL.md 声明完全一致

✓ 代码结构清晰，无阴影功能