中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:3 小时前 重新扫描
5 /100
product-manager-skill
Product Manager Skill - 将分析数据转化为产品决策、PRD、实验计划和 GitHub issues
Product Manager Skill 是一个合法的增长工程自动化工具,代码行为与 SKILL.md 声明完全一致,无恶意指标或阴影功能。
技能名称product-manager-skill
分析耗时79.9s
引擎pi
ClawHub Product Manager Skill v1.0.10 by wotaso-dev
📥 91 📦 1
ClawHub 判定 可疑 dangerous_execenv_credential_accessllm_suspiciouspotential_exfiltrationvt_suspicious
可以安装
可直接使用。该技能符合声明的用途(产品信号分析、GitHub issues/PR 生成),安全风险极低。

安全发现 2 项

严重性 安全发现 位置
提示
配置文件支持 command 模式 敏感访问
config.example.json 允许通过配置指定命令模式(如 node scripts/export-xxx.mjs)。这是合法功能,允许用户自定义数据源集成。
"mode": "command", "command": "node scripts/export-analytics-summary.mjs"
→ 无需修改。这是允许自定义数据源的合理设计,不构成安全风险。
 data/openclaw-growth-engineer/config.example.json:22
提示
依赖版本未锁定 供应链
requirements.txt 或 package.json 中的第三方依赖没有指定版本范围,但代码本身未使用这些依赖进行网络请求或代码执行。
import matplotlib.pyplot as plt
→ 可选:建议在 requirements.txt 中锁定 matplotlib 版本(如 matplotlib>=3.7.0)以确保构建可重现性。
 scripts/openclaw-growth-charts.py:1
资源类型声明权限推断权限状态证据
文件系统 READ WRITE ✓ 一致 SKILL.md 声明读取配置+代码扫描;实际写入 issues.generated.json 等输出文件
网络访问 READ READ ✓ 一致 声明访问 GitHub API;实际通过官方 API 操作
命令执行 NONE WRITE ✓ 一致 SKILL.md 隐式声明 CLI 执行(analyticscli/git/python3);代码通过 spawn 执行预定义命令
环境变量 READ READ ✓ 一致 声明读取 GITHUB_TOKEN 等;实际通过 process.env 读取
技能调用 NONE READ ✓ 一致 检测 analyticscli-cli skill 存在性,不执行
3 项发现
🔗
中危 外部 URL 外部 URL
https://dash.analyticscli.com
references/required-secrets.md:10
🔗
中危 外部 URL 外部 URL
https://api.revenuecat.com/v2/projects?limit=1
scripts/openclaw-growth-preflight.mjs:246
🔗
中危 外部 URL 外部 URL
https://sentry.io/api/0/organizations/
scripts/openclaw-growth-preflight.mjs:284

目录结构

23 文件 · 180.7 KB · 5832 行
JavaScript 10f · 4611L Markdown 6f · 821L JSON 5f · 201L Python 1f · 154L Shell 1f · 45L
├─ 📁 data
│ └─ 📁 openclaw-growth-engineer
│ ├─ 📋 analytics_summary.example.json JSON 40L · 1.2 KB
│ ├─ 📋 config.example.json JSON 76L · 2.0 KB
│ ├─ 📋 feedback_summary.example.json JSON 37L · 1.2 KB
│ ├─ 📋 revenuecat_summary.example.json JSON 25L · 754 B
│ └─ 📋 sentry_summary.example.json JSON 23L · 709 B
├─ 📁 references
│ ├─ 📝 input-schema.md Markdown 102L · 2.5 KB
│ ├─ 📝 issue-template.md Markdown 38L · 645 B
│ ├─ 🔑 required-secrets.md Markdown 33L · 1.6 KB
│ └─ 📝 setup-and-scheduling.md Markdown 205L · 5.7 KB
├─ 📁 scripts
│ ├─ 🔧 bootstrap-openclaw-workspace.sh Shell 45L · 1.8 KB
│ ├─ 📜 export-analytics-summary.mjs JavaScript 172L · 4.4 KB
│ ├─ 📜 export-asc-summary.mjs JavaScript 194L · 5.3 KB
│ ├─ 📜 openclaw-exporters-lib.mjs JavaScript 543L · 19.7 KB
│ ├─ 📜 openclaw-feedback-api.mjs JavaScript 260L · 7.9 KB
│ ├─ 🐍 openclaw-growth-charts.py Python 154L · 4.4 KB
│ ├─ 📜 openclaw-growth-engineer.mjs JavaScript 1141L · 36.7 KB
│ ├─ 📜 openclaw-growth-preflight.mjs JavaScript 871L · 25.7 KB
│ ├─ 📜 openclaw-growth-runner.mjs JavaScript 537L · 15.2 KB
│ ├─ 📜 openclaw-growth-shared.mjs JavaScript 211L · 6.9 KB
│ ├─ 📜 openclaw-growth-start.mjs JavaScript 379L · 10.1 KB
│ └─ 📜 openclaw-growth-wizard.mjs JavaScript 303L · 8.9 KB
├─ 📝 README.md Markdown 270L · 10.1 KB
└─ 📝 SKILL.md Markdown 173L · 7.3 KB

依赖分析 3 项

包名版本来源已知漏洞备注
matplotlib * pip Python 图表生成库,建议锁定版本
analyticscli * npm-global 外部 CLI 工具,数据源
asc * npm-global App Store Connect CLI,可选

安全亮点

✓ SKILL.md 完整声明了所有必需权限和输入,无文档欺骗
✓ 凭证通过环境变量读取,不硬编码或外泄
✓ GitHub 操作使用 fine-grained PAT,遵循最小权限原则
✓ Base64 编码仅用于 GitHub API 文件上传,是标准做法
✓ 没有 eval()、atob()、命令注入等恶意模式
✓ 没有访问 ~/.ssh、~/.aws、.env 等敏感路径
✓ 数据外传仅限官方 API 端点,无可疑外部 IP
✓ 代码结构清晰,错误处理完善