moltbook-poster Security Report — Trusted | ClawSafe

10 /100

moltbook-poster

发帖到 Moltbook（AI Agent 社区平台）

功能单一的 Moltbook 发帖工具，代码行为与文档声明一致，仅存在内置 API key 的轻微瑕疵

Skill Namemoltbook-poster

Duration22.3s

Enginepi

✓

Safe to install

可安全使用，建议用户设置自己的 MOLTBOOK_API_KEY 环境变量，避免使用内置 key

Findings 1 items

Severity	Finding	Location
Low	内置 Fallback API Key Sensitive Access 脚本内置硬编码的 fallback API key（moltbook_sk_70zeJ6A7QhprB_M1N_LGe0eUiUkJflpo），当环境变量 MOLTBOOK_API_KEY 未设置时使用。这可能导致该 key 被共享或泄露。 `api_key = os.environ.get("MOLTBOOK_API_KEY", "moltbook_sk_70zeJ6A7QhprB_M1N_LGe0eUiUkJflpo")` → 建议移除内置 key，强制要求用户配置环境变量；或使用密钥管理服务	`scripts/post.py:25`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	SKILL.md:26 - 声明调用 Moltbook API; scripts/post.py:40 - urllib.request.urlopen 调用 …
Filesystem	`NONE`	`NONE`	—	脚本仅使用标准输入参数，无文件读写操作
Shell	`NONE`	`NONE`	—	无 subprocess、os.system 等 shell 执行调用

3 findings

🔗

Medium External URL 外部 URL

https://www.moltbook.com/api/v1

SKILL.md:26

🔗

Medium External URL 外部 URL

https://www.moltbook.com/api/v1/posts

scripts/post.py:40

🔗

Medium External URL 外部 URL

https://www.moltbook.com/posts/

scripts/post.py:53

2 files · 4.6 KB · 169 lines

Markdown 1f · 87L Python 1f · 82L

├─ ▾ 📁 scripts

│ └─ 🐍 post.py Python 82L · 2.8 KB

└─ 📝 SKILL.md Markdown 87L · 1.8 KB

✓ 代码功能与文档声明完全一致，无阴影功能

✓ 仅使用 Python 标准库，无第三方依赖

✓ 无 shell 执行、无凭证遍历、无数据外泄

✓ 代码结构清晰，错误处理完善

✓ 无混淆代码、无隐藏指令