daily-idiom 安全扫描报告 — 可信 | ClawSafe

5 /100

daily-idiom

每日成语/俗语学习工具，包含故事典故、用法例句、测验打卡功能

每日成语学习工具，代码功能与声明完全一致，无网络请求、无敏感操作、安全防护到位

技能名称daily-idiom

分析耗时28.5s

引擎pi

✓

可以安装

此技能安全可靠，可直接使用

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	scripts/push-toggle.js:1-3 使用 fs 模块读写 data/users/ 目录
网络访问	`NONE`	`NONE`	—	代码中无任何 HTTP/HTTPS 请求
命令执行	`NONE`	`NONE`	—	无 subprocess/spawn/exec 调用
环境变量	`NONE`	`NONE`	—	无 os.environ 或 process.env 访问

1 项发现

🔗

中危外部 URL 外部 URL

https://openclaw.ai

README.md:5

目录结构

7 文件 · 9.8 KB · 214 行

Markdown 2f · 114L JavaScript 3f · 85L JSON 2f · 15L

├─ ▾ 📁 scripts

│ ├─ 📜 evening-push.js JavaScript 18L · 1.3 KB

│ ├─ 📜 morning-push.js JavaScript 18L · 1.5 KB

│ └─ 📜 push-toggle.js JavaScript 49L · 3.5 KB

├─ 📋 _meta.json JSON 7L · 137 B

├─ 📋 package.json JSON 8L · 153 B

├─ 📝 README.md Markdown 53L · 1.6 KB

└─ 📝 SKILL.md Markdown 61L · 1.6 KB

✓ 输入验证完善：sanitizeId 限制 userId 为 128 字符的字母数字

✓ 路径穿越防护：safeUserPath 验证文件路径在 USERS_DIR 范围内

✓ 时间格式验证：sanitizeTime 确保时间格式 HH:MM 且合法

✓ channel 白名单：仅允许 telegram/feishu/slack/discord

✓ 无外部网络请求，攻击面为零

✓ 功能实现与 SKILL.md 声明完全一致

✓ 代码结构清晰，无阴影功能