中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:2 days ago Rescan
5 /100
daily-astro
西方星座每日运势 — 12星座今日运程、幸运元素、爱情事业财运指数
纯文本生成工具,代码结构清晰,无恶意行为,无敏感操作,仅存在轻微配置瑕疵(依赖无版本锁定)
Skill Namedaily-astro
Duration31.7s
Enginepi
Safe to install
可直接使用,建议在生产环境锁定 Node.js 运行时版本

Findings 2 items

Severity Finding Location
Low
Node.js 运行时版本未锁定
_meta.json 和 package.json 声明 node:>=18,但未锁定具体 LTS 版本(如 20.x LTS)
"engines":{"node":">=18"}
→ 建议改为 "engines":{"node":">=20.0.0"} 锁定 LTS 版本
 package.json:7
Info
定时任务由外部调度器管理
脚本通过 stdout 输出 __OPENCLAW_CRON_ADD__/RM 命令,由外部 Agent 框架执行定时调度,这是正常架构设计
console.log('__OPENCLAW_CRON_ADD__:'+...)
→ 无需修改,属于框架设计
 scripts/push-toggle.js:26
ResourceDeclaredInferredStatusEvidence
Filesystem WRITE WRITE ✓ Aligned scripts/push-toggle.js:34 - 保存用户推送设置到 data/users/*.json
Network NONE NONE 所有脚本无网络请求,仅通过 stdout 输出文本
Shell READ READ ✓ Aligned SKILL.md 声明 node>=18 运行时,脚本通过 node 命令执行
1 findings
🔗
Medium External URL 外部 URL
https://openclaw.ai
README.md:5

File Tree

7 files · 10.0 KB · 221 lines
Markdown 2f · 121L JavaScript 3f · 85L JSON 2f · 15L
├─ 📁 scripts
│ ├─ 📜 evening-push.js JavaScript 18L · 1.3 KB
│ ├─ 📜 morning-push.js JavaScript 18L · 1.4 KB
│ └─ 📜 push-toggle.js JavaScript 49L · 3.5 KB
├─ 📋 _meta.json JSON 7L · 137 B
├─ 📋 package.json JSON 8L · 174 B
├─ 📝 README.md Markdown 44L · 1.6 KB
└─ 📝 SKILL.md Markdown 77L · 1.8 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
无第三方依赖 N/A Node.js 内置 No 仅使用 fs、path 内置模块

Security Positives

✓ ✅ 完整的输入验证:sanitizeId() 使用白名单正则 ^[a-zA-Z0-9_-]{1,128}$
✓ ✅ 路径遍历防护:safeUserPath() 确保文件操作在 USERS_DIR 范围内
✓ ✅ 时间格式验证:sanitizeTime() 校验 00:00-23:59 格式
✓ ✅ 渠道白名单控制:仅允许 telegram/feishu/slack/discord 四个渠道
✓ ✅ 无网络请求:所有操作本地化,数据不外传
✓ ✅ 无远程代码执行:无 eval、动态代码加载
✓ ✅ 无敏感路径访问:不涉及 ~/.ssh、.env、凭证文件
✓ ✅ 依赖最小化:仅使用 Node.js 内置模块