中文 EN

扫描报告

扫描新文件

可疑 — 风险评分 45/100
上次扫描:3 小时前 重新扫描
45 /100
bt-download
BT下载助手,支持 aria2 RPC 模式下载、监控和自动做种
BT下载工具存在未声明的外部网络访问行为(bt_get_trackers静默从GitHub获取数据),但功能本身符合工具声明用途,风险可控。
技能名称bt-download
分析耗时37.3s
引擎pi
ClawHub BT Download v1.0.0 by n0nsense11
📥 193 📦 1
ClawHub 判定 可疑 dangerous_execenv_credential_accessllm_suspiciouspotential_exfiltrationvt_suspicious
谨慎使用
建议在SKILL.md中明确声明bt_get_trackers需要网络访问权限获取tracker列表,或考虑将tracker列表内嵌以消除供应链风险。

安全发现 4 项

严重性 安全发现 位置
中危
未声明的外部网络访问 文档欺骗
bt_get_trackers函数通过curl从GitHub获取tracker列表,但SKILL.md的功能说明中完全未提及此网络行为。这是典型的文档-行为差异,属于阴影功能。
exec('curl -s https://raw.githubusercontent.com/ngosang/ngosang-trackerslist/master/trackers_best.txt...'
→ 在SKILL.md的bt_get_trackers描述中明确说明需要网络访问权限,声明获取来源URL
 plugin.ts:133
低危
外部URL内容获取无完整性校验 供应链
curl获取的tracker列表内容直接使用,无哈希校验或签名验证。若攻击者篡改上游仓库,可注入恶意tracker
curl -s https://raw.githubusercontent.com/ngosang/ngosang-trackerslist/... | tr '\n' ','
→ 考虑内嵌一份tracker列表作为fallback,或添加内容完整性校验
 plugin.ts:133
低危
sudo安装系统包未在文档声明 权限提升
bt_install_aria2使用'sudo apt-get install'安装aria2,需要提升权限,但SKILL.md参数说明中未提及此权限要求
sudo apt-get update && sudo apt-get install -y aria2
→ 在工具描述中明确说明需要sudo权限,或改用非root安装方式
 plugin.ts:101
提示
环境变量读取下载目录 敏感访问
代码读取DOWNLOAD_DIR环境变量作为默认下载目录,这是合法的配置能力
process.env.DOWNLOAD_DIR || getDefaultDownloadDir()
→ 无需修改,属于正常的配置机制
 plugin.ts:213
资源类型声明权限推断权限状态证据
文件系统 READ READ ✓ 一致 plugin.ts:217 readFile读取.torrent文件
网络访问 NONE READ ✗ 越权 plugin.ts:133 curl访问github.com/ngosang/trackerslist
命令执行 WRITE WRITE ✓ 一致 plugin.ts 多处child_process.exec调用
环境变量 NONE READ ✓ 一致 plugin.ts:213 process.env.DOWNLOAD_DIR读取
1 项发现
🔗
中危 外部 URL 外部 URL
https://aria2.github.io
SKILL.md:4

目录结构

2 文件 · 20.7 KB · 591 行
TypeScript 1f · 456L Markdown 1f · 135L
├─ 📜 plugin.ts TypeScript 456L · 17.2 KB
└─ 📝 SKILL.md Markdown 135L · 3.4 KB

依赖分析 2 项

包名版本来源已知漏洞备注
node-fetch * dynamic import 按需导入用于RPC调用
aria2c * system package 系统依赖,通过apt安装

安全亮点

✓ 使用aria2 RPC模式而非直接操作下载文件,隔离良好
✓ RPC服务仅监听localhost:6800,不对外暴露
✓ 日志写入/tmp/aria2-rpc.log,不包含敏感信息
✓ 工具功能定位清晰,符合BT下载助手声明
✓ fallback tracker列表硬编码,防止网络失败完全阻塞