Facebook Publisher Skill 安全扫描报告 — 可信 | ClawSafe

10 /100

Facebook Publisher Skill

Facebook Graph API 工作流工具，用于自动化发布页面帖子和管理令牌

合法的 Facebook Graph API 发布工具，代码功能与文档声明一致，无恶意行为。存在轻微文件写入风险但有合理解释。

技能名称Facebook Publisher Skill

分析耗时56.0s

引擎pi

✓

可以安装

建议将 fb_tokens_output.json 添加到 .gitignore 确保不泄露令牌文件。

安全发现 2 项

严重性	安全发现	位置
低危	文件写入行为未在文档中声明文档欺骗 fb_token_helper.py 在获取令牌后会写入 fb_tokens_output.json 文件，但 SKILL.md 未提及此行为 `with open(output_path, "w", encoding="utf-8") as f: json.dump({...}, f, ensure_ascii=False, indent=2)` → 在 SKILL.md 中补充说明令牌会写入本地 JSON 文件，并提示用户添加到 .gitignore	`agents/fb_token_helper.py:134`
低危	加载多个 API 密钥环境变量敏感访问 config.py 加载 OPENAI_API_KEY、APIFY_API_TOKEN、FB_* 等多个凭证变量，但代码仅用于各自 API 调用，无外传行为 `OPENAI_API_KEY: str = os.getenv("OPENAI_API_KEY", "")` → 确认仅授权的 AI Agent 环境需要这些变量，按需分配	`config.py:1`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`WRITE`	✓ 一致	agents/fb_token_helper.py:134
网络访问	`READ`	`READ`	✓ 一致	仅调用 Facebook Graph API

3 项发现

🔗

中危外部 URL 外部 URL

https://www.facebook.com/

agents/fb_publisher_agent.py:107

🔗

中危外部 URL 外部 URL

https://developers.facebook.com/tools/explorer[/link

agents/fb_token_helper.py:81

🔗

中危外部 URL 外部 URL

https://graph.facebook.com/

config.py:27

5 文件 · 21.6 KB · 587 行

Python 4f · 481L Markdown 1f · 106L

├─ ▾ 📁 agents

│ ├─ 🐍 fb_publisher_agent.py Python 180L · 8.3 KB

│ └─ 🔑 fb_token_helper.py ⚠ Python 150L · 5.1 KB

├─ 🐍 config.py Python 51L · 2.2 KB

├─ 📝 SKILL.md Markdown 106L · 2.7 KB

└─ 🐍 test_fb_connection.py Python 100L · 3.3 KB

✓ 代码结构清晰，注释完整（越南语注释辅助理解）

✓ 仅调用 Facebook Graph API (graph.facebook.com)，无其他外部网络请求

✓ 实现了重试机制和指数退避，符合生产环境最佳实践

✓ 无 shell 执行、无 base64 编码、无混淆代码

✓ 凭证仅用于内存中构造 API 请求，无外传行为

✓ SKILL.md 权限声明准确，与实际代码行为一致