Name: 115-skills Security Report — Suspicious | ClawSafe
Item: 115-skills
Rating: 72
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

28 /100

115-skills

115网盘智能管理：扫码登录、文件浏览、搜索、转存、离线下载、智能整理

115网盘管理工具存在可疑硬编码IP和依赖版本锁定问题，但核心功能无明显恶意行为，凭证存储使用本地加密

Skill Name115-skills

Duration61.8s

Enginepi

ClawHub 115 Publish v1.0.1 by sukris

📥 180

ClawHub Verdict Suspicious llm_suspiciouspotential_exfiltration

⚠

Use with caution

建议修复硬编码IP问题，锁定axios依赖版本，并验证Puppeteer无头浏览器的使用场景是否必要

Findings 4 items

Severity	Finding	Location
Medium	User-Agent包含可疑硬编码IP Doc Mismatch lib/auth.js第20行User-Agent标识为'Mozilla/5.0 115Browser/23.9.3.2'，其中版本号格式异常(23.9.3.2)疑似硬编码IP `'User-Agent': 'Mozilla/5.0 115Browser/23.9.3.2'` → 使用标准浏览器User-Agent或115官方标识	`lib/auth.js:20`
Medium	Puppeteer无头浏览器启动参数可疑 Obfuscation auth-puppeteer.js使用--no-sandbox和--disable-setuid-sandbox参数启动无头浏览器，虽声称用于扫码但可绕过安全限制 `--no-sandbox, --disable-setuid-sandbox` → 评估是否需要无头模式，考虑使用headful模式提高透明度	`lib/auth-puppeteer.js:39`
Medium	axios依赖缺少版本锁定 Supply Chain package.json中axios使用^1.6.0版本范围，可能自动升级到存在CVE漏洞的版本 `"axios": "^1.6.0"` → 锁定为具体版本如[email protected]	`package.json:32`
Low	Cookie存储路径权限设置 Priv Escalation cookie-store.js将凭证加密存储在~/.openclaw/目录，权限设为0o600(仅所有者读写)，但目录默认权限可能过宽 `mode: 0o600` → 确保父目录~/.openclaw/权限也限制为0700	`lib/storage/cookie-store.js:85`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	仅访问115官方API
Filesystem	`READ`	`READ`	✓ Aligned	仅操作~/.openclaw/目录
Environment	`NONE`	`READ`	✓ Aligned	cookie-store.js读取HOME环境变量用于存储路径

2 High 14 findings

📡

High IP Address 硬编码 IP 地址

120.0.0.0

lib/auth-puppeteer.js:39

📡

High IP Address 硬编码 IP 地址

23.9.3.2

lib/auth.js:20

🔗

Medium External URL 外部 URL

https://115.com/s/SHARE_CODE

SKILL.md:148

🔗

Medium External URL 外部 URL

https://115.com/s/xxx

index.js:207

🔗

Medium External URL 外部 URL

https://115.com/

lib/auth-puppeteer.js:42

🔗

Medium External URL 外部 URL

https://passport.115.com/qrcode/generate

lib/auth-web.js:90

🔗

Medium External URL 外部 URL

https://passportapi.115.com

lib/auth.js:13

🔗

Medium External URL 外部 URL

https://webapi.115.com

lib/auth.js:14

🔗

Medium External URL 外部 URL

https://my.115.com/?ct=ajax&ac=nav

lib/auth.js:250

🔗

Medium External URL 外部 URL

https://uplb.115.com

lib/files/transfer.js:17

🔗

Medium External URL 外部 URL

https://lixian.115.com

lib/lixian/download.js:15

🔗

Medium External URL 外部 URL

https://115.com/s/abc123

lib/share/transfer.js:23

🔗

Medium External URL 外部 URL

https://115.com/s/abc123?password=xyzw

lib/share/transfer.js:25

🔗

Medium External URL 外部 URL

https://115.com/s/$

lib/share/transfer.js:237

File Tree

28 files · 226.6 KB · 9007 lines

JavaScript 26f · 8729L Markdown 1f · 222L JSON 1f · 56L

├─ ▾ 📁 lib

│ ├─ ▾ 📁 client

│ │ └─ 📜 http-client.js JavaScript 315L · 8.0 KB

│ ├─ ▾ 📁 context

│ │ ├─ 📜 history-manager.js JavaScript 517L · 12.1 KB

│ │ └─ 📜 session-context.js JavaScript 298L · 6.4 KB

│ ├─ ▾ 📁 error

│ │ └─ 📜 error-handler.js JavaScript 430L · 11.1 KB

│ ├─ ▾ 📁 files

│ │ ├─ 📜 batch-operations.js JavaScript 467L · 11.8 KB

│ │ ├─ 📜 browser.js JavaScript 275L · 6.2 KB

│ │ ├─ 📜 operations.js JavaScript 289L · 7.0 KB

│ │ └─ 📜 transfer.js JavaScript 257L · 6.5 KB

│ ├─ ▾ 📁 lixian

│ │ ├─ 📜 download.js JavaScript 274L · 6.5 KB

│ │ └─ 📜 lixian-manager.js JavaScript 523L · 13.2 KB

│ ├─ ▾ 📁 organizer

│ │ ├─ 📜 classifier.js JavaScript 153L · 4.3 KB

│ │ ├─ 📜 clean-advisor.js JavaScript 486L · 13.7 KB

│ │ └─ 📜 smart-organizer.js JavaScript 289L · 8.0 KB

│ ├─ ▾ 📁 parser

│ │ └─ 📜 command-parser.js JavaScript 326L · 8.6 KB

│ ├─ ▾ 📁 recommender

│ │ └─ 📜 action-recommender.js JavaScript 459L · 11.0 KB

│ ├─ ▾ 📁 share

│ │ ├─ 📜 share-manager.js JavaScript 363L · 9.1 KB

│ │ └─ 📜 transfer.js JavaScript 317L · 8.2 KB

│ ├─ ▾ 📁 storage

│ │ └─ 📜 cookie-store.js JavaScript 218L · 5.3 KB

│ ├─ ▾ 📁 ui

│ │ ├─ 📜 progress-display.js JavaScript 358L · 9.1 KB

│ │ └─ 📜 response-builder.js JavaScript 560L · 14.2 KB

│ ├─ ▾ 📁 utils

│ │ └─ 📜 helpers.js JavaScript 32L · 574 B

│ ├─ 📜 auth-puppeteer.js JavaScript 304L · 7.9 KB

│ ├─ 📜 auth-web.js JavaScript 262L · 6.0 KB

│ ├─ 📜 auth.js JavaScript 315L · 7.8 KB

│ └─ 📜 session.js JavaScript 297L · 6.6 KB

├─ 📜 index.js JavaScript 345L · 9.8 KB

├─ 📋 package.json JSON 56L · 1.5 KB

└─ 📝 SKILL.md Markdown 222L · 6.3 KB

Dependencies 5 items

Package	Version	Source	Known Vulns	Notes
`axios`	`^1.6.0`	npm	Yes	无版本锁定，可能引入CVE-2024-39338等已知漏洞
`puppeteer`	`^24.39.1`	npm	No	版本锁定良好
`qrcode`	`^1.5.3`	npm	No	版本锁定良好
`form-data`	`^4.0.0`	npm	No	版本锁定良好
`qs`	`^6.15.0`	npm	No	版本锁定良好

Security Positives

✓ Cookie使用AES-256-GCM本地加密存储，密钥派生函数PBKDF2使用100000次迭代

✓ 所有API请求指向115官方域名(webapi.115.com等)，无第三方数据外泄

✓ 代码结构清晰，错误处理完善，无明显RCE或凭证收割行为

✓ 高危操作(登录、转存)设置disable-model-invocation，需用户显式调用

✓ Puppeteer仅用于自动化扫码登录，功能与声明一致

Scan Report

Findings 4 items

File Tree

Dependencies 5 items

Security Positives