moltbook-poster 安全扫描报告 — 可信 | ClawSafe

10 /100

moltbook-poster

发帖到 Moltbook（AI Agent 社区平台）

功能单一的 Moltbook 发帖工具，代码行为与文档声明一致，仅存在内置 API key 的轻微瑕疵

技能名称moltbook-poster

分析耗时22.3s

引擎pi

✓

可以安装

可安全使用，建议用户设置自己的 MOLTBOOK_API_KEY 环境变量，避免使用内置 key

安全发现 1 项

严重性	安全发现	位置
低危	内置 Fallback API Key 敏感访问脚本内置硬编码的 fallback API key（moltbook_sk_70zeJ6A7QhprB_M1N_LGe0eUiUkJflpo），当环境变量 MOLTBOOK_API_KEY 未设置时使用。这可能导致该 key 被共享或泄露。 `api_key = os.environ.get("MOLTBOOK_API_KEY", "moltbook_sk_70zeJ6A7QhprB_M1N_LGe0eUiUkJflpo")` → 建议移除内置 key，强制要求用户配置环境变量；或使用密钥管理服务	`scripts/post.py:25`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	SKILL.md:26 - 声明调用 Moltbook API; scripts/post.py:40 - urllib.request.urlopen 调用 …
文件系统	`NONE`	`NONE`	—	脚本仅使用标准输入参数，无文件读写操作
命令执行	`NONE`	`NONE`	—	无 subprocess、os.system 等 shell 执行调用

3 项发现

🔗

中危外部 URL 外部 URL

https://www.moltbook.com/api/v1

SKILL.md:26

🔗

中危外部 URL 外部 URL

https://www.moltbook.com/api/v1/posts

scripts/post.py:40

🔗

中危外部 URL 外部 URL

https://www.moltbook.com/posts/

scripts/post.py:53

2 文件 · 4.6 KB · 169 行

Markdown 1f · 87L Python 1f · 82L

├─ ▾ 📁 scripts

│ └─ 🐍 post.py Python 82L · 2.8 KB

└─ 📝 SKILL.md Markdown 87L · 1.8 KB

✓ 代码功能与文档声明完全一致，无阴影功能

✓ 仅使用 Python 标准库，无第三方依赖

✓ 无 shell 执行、无凭证遍历、无数据外泄

✓ 代码结构清晰，错误处理完善

✓ 无混淆代码、无隐藏指令