中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
valuescan-skill
ValueScan 加密货币主力资金流分析工具
ValueScan 加密货币资金流分析工具,代码行为与声明功能一致,无恶意行为,仅用于加密货币市场数据分析
技能名称valuescan-skill
分析耗时39.1s
引擎pi
可以安装
该 skill 可安全使用,仅涉及合法的 API 凭证读取和市场数据查询

安全发现 2 项

严重性 安全发现 位置
低危
网络权限未显式声明
SKILL.md 中未声明 allowed-tools,但代码使用 fetch 进行网络请求。实际使用属于合法 API 调用场景,不构成安全威胁。
const response = await fetch(fullUrl, { method: 'POST', headers: headers, body: rawBody, signal: controller.signal });
→ 建议在 SKILL.md 中声明 allowed-tools: ['WebFetch'] 以提高透明度
 script/sdk/vs_api_sign.js:54
提示
敏感文件为接口定义参考
references/ 目录下的 JSON 文件是 API 接口定义和响应格式示例,包含代币列表、枚举值等公开数据,非敏感信息
接口参考文档,包含代币信息、市场数据枚举定义
→ 无需处理,这些是正常的 API 文档
 references/
资源类型声明权限推断权限状态证据
网络访问 NONE WRITE ✓ 一致 script/sdk/vs_api_sign.js:54 使用 fetch 发送 POST 请求
文件系统 NONE READ ✓ 一致 script/sdk/vs_api_sign.js:17 读取 ~/.openclaw/credentials/valuescan.json(合法凭证用途)
环境变量 NONE NONE 无环境变量访问
8 项发现
🔗
中危 外部 URL 外部 URL
https://www.valuescan.ai
SKILL.md:8
🔗
中危 外部 URL 外部 URL
https://api.valuescan.io/api/open/v1
SKILL.md:158
🔗
中危 外部 URL 外部 URL
https://www.valuescan.ai/dev-portal/home/
SKILL.md:170
🔗
中危 外部 URL 外部 URL
https://claw.valuescan.io
SKILL.md:284
💰
中危 钱包地址 加密货币钱包地址
3M219KR5vEneNb47ewrPfWyb5jQ2DjxRP6
references/chain/balance-trend.json:27
💰
中危 钱包地址 加密货币钱包地址
34xp4vRoCGJym3xR7yCVPFHoCNxv4Twseo
references/chain/holders.json:52
🔗
中危 外部 URL 外部 URL
https://api.valuescan.io
script/sdk/vs_api_sign.js:11
📧
提示 邮箱 邮箱地址
[email protected]
SKILL.md:18

目录结构

30 文件 · 105.9 KB · 2076 行
JSON 27f · 1628L Markdown 2f · 329L JavaScript 1f · 119L
├─ 📁 references
│ ├─ 📁 ai
│ │ ├─ 📋 chance-coin-list.json JSON 129L · 8.7 KB
│ │ ├─ 📋 chance-coin-messages.json JSON 50L · 2.3 KB
│ │ ├─ 📋 funds-coin-list.json JSON 74L · 4.5 KB
│ │ ├─ 📋 funds-coin-messages.json JSON 44L · 2.4 KB
│ │ ├─ 📋 risk-coin-list.json JSON 104L · 6.2 KB
│ │ └─ 📋 risk-coin-messages.json JSON 50L · 2.3 KB
│ ├─ 📁 base
│ │ ├─ 📋 kline.json JSON 61L · 2.7 KB
│ │ ├─ 🔑 token-detail.json JSON 90L · 4.8 KB
│ │ └─ 🔑 token-list.json JSON 26L · 1.4 KB
│ ├─ 📁 category
│ │ ├─ 📋 category-list.json JSON 45L · 2.4 KB
│ │ └─ 🔑 category-tokens.json JSON 43L · 2.3 KB
│ ├─ 📁 chain
│ │ ├─ 📋 balance-trend.json JSON 42L · 2.0 KB
│ │ ├─ 📋 hold-trend.json JSON 37L · 2.1 KB
│ │ ├─ 📋 holders.json JSON 71L · 3.4 KB
│ │ ├─ 📋 large-trade.json JSON 91L · 4.5 KB
│ │ ├─ 📋 profit-loss-trend.json JSON 36L · 2.0 KB
│ │ └─ 📋 trade-count-trend.json JSON 49L · 2.4 KB
│ ├─ 📁 fund
│ │ ├─ 📋 coin-flow.json JSON 50L · 2.6 KB
│ │ ├─ 📋 cost.json JSON 37L · 2.1 KB
│ │ ├─ 📋 fund-snapshot.json JSON 70L · 3.8 KB
│ │ ├─ 📋 marketcap-ratio.json JSON 44L · 2.2 KB
│ │ └─ 📋 realtime-fund.json JSON 77L · 4.8 KB
│ ├─ 📁 indicator
│ │ ├─ 📋 dense-area.json JSON 32L · 1.5 KB
│ │ ├─ 📋 price-market.json JSON 35L · 1.5 KB
│ │ └─ 📋 sentiment.json JSON 64L · 2.9 KB
│ └─ 📋 enums.json JSON 143L · 7.9 KB
├─ 📁 script
│ └─ 📁 sdk
│ ├─ 📝 README.md Markdown 44L · 1.1 KB
│ └─ 📜 vs_api_sign.js JavaScript 119L · 3.8 KB
├─ 📋 _meta.json JSON 34L · 1000 B
└─ 📝 SKILL.md Markdown 285L · 14.4 KB

依赖分析 3 项

包名版本来源已知漏洞备注
crypto 内置 Node.js built-in 用于 HMAC-SHA256 签名
fetch 内置 Node.js 18+ built-in / polyfill for 16+ 用于 API 请求
fs 内置 Node.js built-in 仅读取本地凭证文件

安全亮点

✓ 无远程代码执行能力
✓ 无凭证外泄行为
✓ 无环境变量遍历收割敏感信息
✓ 凭证仅用于本地签名生成,不外传
✓ API 请求使用 HTTPS 域名连接官方服务器
✓ HMAC-SHA256 签名确保请求完整性
✓ 代码结构清晰,功能单一
✓ 所有依赖均为 Node.js 内置模块,无外部依赖风险