中文 EN

扫描报告

扫描新文件

可疑 — 风险评分 28/100
上次扫描:5 小时前 重新扫描
28 /100
115-skills
115网盘智能管理:扫码登录、文件浏览、搜索、转存、离线下载、智能整理
115网盘管理工具存在可疑硬编码IP和依赖版本锁定问题,但核心功能无明显恶意行为,凭证存储使用本地加密
技能名称115-skills
分析耗时61.8s
引擎pi
ClawHub 115 Publish v1.0.1 by sukris
📥 180
ClawHub 判定 可疑 llm_suspiciouspotential_exfiltration
谨慎使用
建议修复硬编码IP问题,锁定axios依赖版本,并验证Puppeteer无头浏览器的使用场景是否必要

安全发现 4 项

严重性 安全发现 位置
中危
User-Agent包含可疑硬编码IP 文档欺骗
lib/auth.js第20行User-Agent标识为'Mozilla/5.0 115Browser/23.9.3.2',其中版本号格式异常(23.9.3.2)疑似硬编码IP
'User-Agent': 'Mozilla/5.0 115Browser/23.9.3.2'
→ 使用标准浏览器User-Agent或115官方标识
 lib/auth.js:20
中危
Puppeteer无头浏览器启动参数可疑 代码混淆
auth-puppeteer.js使用--no-sandbox和--disable-setuid-sandbox参数启动无头浏览器,虽声称用于扫码但可绕过安全限制
--no-sandbox, --disable-setuid-sandbox
→ 评估是否需要无头模式,考虑使用headful模式提高透明度
 lib/auth-puppeteer.js:39
中危
axios依赖缺少版本锁定 供应链
package.json中axios使用^1.6.0版本范围,可能自动升级到存在CVE漏洞的版本
"axios": "^1.6.0"
→ 锁定为具体版本如[email protected]
 package.json:32
低危
Cookie存储路径权限设置 权限提升
cookie-store.js将凭证加密存储在~/.openclaw/目录,权限设为0o600(仅所有者读写),但目录默认权限可能过宽
mode: 0o600
→ 确保父目录~/.openclaw/权限也限制为0700
 lib/storage/cookie-store.js:85
资源类型声明权限推断权限状态证据
网络访问 READ READ ✓ 一致 仅访问115官方API
文件系统 READ READ ✓ 一致 仅操作~/.openclaw/目录
环境变量 NONE READ ✓ 一致 cookie-store.js读取HOME环境变量用于存储路径
2 高危 14 项发现
📡
高危 IP 地址 硬编码 IP 地址
120.0.0.0
lib/auth-puppeteer.js:39
📡
高危 IP 地址 硬编码 IP 地址
23.9.3.2
lib/auth.js:20
🔗
中危 外部 URL 外部 URL
https://115.com/s/SHARE_CODE
SKILL.md:148
🔗
中危 外部 URL 外部 URL
https://115.com/s/xxx
index.js:207
🔗
中危 外部 URL 外部 URL
https://115.com/
lib/auth-puppeteer.js:42
🔗
中危 外部 URL 外部 URL
https://passport.115.com/qrcode/generate
lib/auth-web.js:90
🔗
中危 外部 URL 外部 URL
https://passportapi.115.com
lib/auth.js:13
🔗
中危 外部 URL 外部 URL
https://webapi.115.com
lib/auth.js:14
🔗
中危 外部 URL 外部 URL
https://my.115.com/?ct=ajax&ac=nav
lib/auth.js:250
🔗
中危 外部 URL 外部 URL
https://uplb.115.com
lib/files/transfer.js:17
🔗
中危 外部 URL 外部 URL
https://lixian.115.com
lib/lixian/download.js:15
🔗
中危 外部 URL 外部 URL
https://115.com/s/abc123
lib/share/transfer.js:23
🔗
中危 外部 URL 外部 URL
https://115.com/s/abc123?password=xyzw
lib/share/transfer.js:25
🔗
中危 外部 URL 外部 URL
https://115.com/s/$
lib/share/transfer.js:237

目录结构

28 文件 · 226.6 KB · 9007 行
JavaScript 26f · 8729L Markdown 1f · 222L JSON 1f · 56L
├─ 📁 lib
│ ├─ 📁 client
│ │ └─ 📜 http-client.js JavaScript 315L · 8.0 KB
│ ├─ 📁 context
│ │ ├─ 📜 history-manager.js JavaScript 517L · 12.1 KB
│ │ └─ 📜 session-context.js JavaScript 298L · 6.4 KB
│ ├─ 📁 error
│ │ └─ 📜 error-handler.js JavaScript 430L · 11.1 KB
│ ├─ 📁 files
│ │ ├─ 📜 batch-operations.js JavaScript 467L · 11.8 KB
│ │ ├─ 📜 browser.js JavaScript 275L · 6.2 KB
│ │ ├─ 📜 operations.js JavaScript 289L · 7.0 KB
│ │ └─ 📜 transfer.js JavaScript 257L · 6.5 KB
│ ├─ 📁 lixian
│ │ ├─ 📜 download.js JavaScript 274L · 6.5 KB
│ │ └─ 📜 lixian-manager.js JavaScript 523L · 13.2 KB
│ ├─ 📁 organizer
│ │ ├─ 📜 classifier.js JavaScript 153L · 4.3 KB
│ │ ├─ 📜 clean-advisor.js JavaScript 486L · 13.7 KB
│ │ └─ 📜 smart-organizer.js JavaScript 289L · 8.0 KB
│ ├─ 📁 parser
│ │ └─ 📜 command-parser.js JavaScript 326L · 8.6 KB
│ ├─ 📁 recommender
│ │ └─ 📜 action-recommender.js JavaScript 459L · 11.0 KB
│ ├─ 📁 share
│ │ ├─ 📜 share-manager.js JavaScript 363L · 9.1 KB
│ │ └─ 📜 transfer.js JavaScript 317L · 8.2 KB
│ ├─ 📁 storage
│ │ └─ 📜 cookie-store.js JavaScript 218L · 5.3 KB
│ ├─ 📁 ui
│ │ ├─ 📜 progress-display.js JavaScript 358L · 9.1 KB
│ │ └─ 📜 response-builder.js JavaScript 560L · 14.2 KB
│ ├─ 📁 utils
│ │ └─ 📜 helpers.js JavaScript 32L · 574 B
│ ├─ 📜 auth-puppeteer.js JavaScript 304L · 7.9 KB
│ ├─ 📜 auth-web.js JavaScript 262L · 6.0 KB
│ ├─ 📜 auth.js JavaScript 315L · 7.8 KB
│ └─ 📜 session.js JavaScript 297L · 6.6 KB
├─ 📜 index.js JavaScript 345L · 9.8 KB
├─ 📋 package.json JSON 56L · 1.5 KB
└─ 📝 SKILL.md Markdown 222L · 6.3 KB

依赖分析 5 项

包名版本来源已知漏洞备注
axios ^1.6.0 npm 无版本锁定,可能引入CVE-2024-39338等已知漏洞
puppeteer ^24.39.1 npm 版本锁定良好
qrcode ^1.5.3 npm 版本锁定良好
form-data ^4.0.0 npm 版本锁定良好
qs ^6.15.0 npm 版本锁定良好

安全亮点

✓ Cookie使用AES-256-GCM本地加密存储,密钥派生函数PBKDF2使用100000次迭代
✓ 所有API请求指向115官方域名(webapi.115.com等),无第三方数据外泄
✓ 代码结构清晰,错误处理完善,无明显RCE或凭证收割行为
✓ 高危操作(登录、转存)设置disable-model-invocation,需用户显式调用
✓ Puppeteer仅用于自动化扫码登录,功能与声明一致