@h-ear/openclaw Security Report — Trusted | ClawSafe

5 /100

@h-ear/openclaw

H-ear World 音频分类 API 的 OpenClaw 技能封装，提供声音分类、批量处理、告警管理等功能

纯 API 集成型技能，所有行为均符合 SKILL.md 声明，网络访问仅指向 H-ear 官方 API 和 OpenClaw 网关，无文件读写、无 shell 执行、无凭证外泄，依赖供应链风险极低。

Skill Name@h-ear/openclaw

Duration41.3s

Enginepi

✓

Safe to install

可直接使用。建议关注 @h-ear/core 依赖的版本稳定性，长期项目建议锁定 patch 版本。

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`NONE`	—	无任何 fs 模块引用，代码仅操作 API 响应数据
Network	`READ`	`READ`	✓ Aligned	所有 HTTP 请求通过 @h-ear/core 的 HearApiClient，仅访问 h-ear.world API 和 gateway.openclaw.…
Shell	`NONE`	`NONE`	—	无 subprocess/child_process/exec 调用
Environment	`READ`	`READ`	✓ Aligned	仅读取 HEAR_API_KEY/HEAR_BEARER_TOKEN/HEAR_ENV/HEAR_BASE_URL，凭证仅传给 API 客户端，不外传
Skill Invoke	`NONE`	`NONE`	—	无嵌套调用其他 skill
Clipboard	`NONE`	`NONE`	—	无剪贴板操作
Browser	`NONE`	`NONE`	—	无浏览器自动化
Database	`NONE`	`NONE`	—	无数据库操作

2 findings

🔗

Medium External URL 外部 URL

https://h-ear.world

README.md:3

🔗

Medium External URL 外部 URL

https://gateway.openclaw.ai/webhooks/h-ear

src/commands/alerts.ts:5

File Tree

16 files · 24.8 KB · 729 lines

TypeScript 11f · 505L Markdown 2f · 120L JSON 2f · 81L JavaScript 1f · 23L

├─ ▾ 📁 src

│ ├─ ▾ 📁 commands

│ │ ├─ 📜 alerts.ts TypeScript 27L · 883 B

│ │ ├─ 📜 classify-batch.ts TypeScript 25L · 885 B

│ │ ├─ 📜 classify.ts TypeScript 18L · 671 B

│ │ ├─ 📜 health.ts TypeScript 7L · 254 B

│ │ ├─ 📜 jobs.ts TypeScript 22L · 658 B

│ │ ├─ 📜 sounds.ts TypeScript 15L · 464 B

│ │ ├─ 📜 usage.ts TypeScript 7L · 250 B

│ │ └─ 📜 webhooks.ts TypeScript 51L · 1.7 KB

│ ├─ 📜 config.ts TypeScript 20L · 906 B

│ ├─ 📜 formatter.ts TypeScript 273L · 9.7 KB

│ └─ 📜 index.ts TypeScript 40L · 1.5 KB

├─ 📜 eslint.config.js JavaScript 23L · 707 B

├─ 📋 package.json JSON 59L · 1.2 KB

├─ 📝 README.md Markdown 77L · 2.0 KB

├─ 📝 SKILL.md Markdown 43L · 2.6 KB

└─ 📋 tsconfig.json JSON 22L · 544 B

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`@h-ear/core`	`^0.2.0`	npm	No	minor 版本范围允许升级，存在极低供应链风险；建议发布时锁定精确版本

Security Positives

✓ 代码结构清晰，无任何 shell/文件系统操作

✓ 文档 (SKILL.md) 与实际行为完全一致，无阴影功能

✓ API 凭证仅传递至官方 API，不外泄

✓ Webhook URL 硬编码为 OpenClaw 官方网关 (gateway.openclaw.ai)，非任意外部 IP

✓ 无 base64 编码、eval、动态代码执行

✓ 无敏感路径 (~/.ssh、~/.aws、.env) 访问

✓ 无 HTML 注释隐藏指令或提示词注入风险

✓ ESLint 配置规范，包含 no-console 规则

Scan Report

File Tree

Dependencies 1 items

Security Positives