daily-astro 安全扫描报告 — 可信 | ClawSafe

5 /100

daily-astro

西方星座每日运势 — 12星座今日运程、幸运元素、爱情事业财运指数

纯文本生成工具，代码结构清晰，无恶意行为，无敏感操作，仅存在轻微配置瑕疵（依赖无版本锁定）

技能名称daily-astro

分析耗时31.7s

引擎pi

✓

可以安装

可直接使用，建议在生产环境锁定 Node.js 运行时版本

安全发现 2 项

严重性	安全发现	位置
低危	Node.js 运行时版本未锁定 _meta.json 和 package.json 声明 node:>=18，但未锁定具体 LTS 版本（如 20.x LTS） `"engines":{"node":">=18"}` → 建议改为 "engines":{"node":">=20.0.0"} 锁定 LTS 版本	`package.json:7`
提示	定时任务由外部调度器管理脚本通过 stdout 输出 __OPENCLAW_CRON_ADD__/RM 命令，由外部 Agent 框架执行定时调度，这是正常架构设计 `console.log('__OPENCLAW_CRON_ADD__:'+...)` → 无需修改，属于框架设计	`scripts/push-toggle.js:26`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	scripts/push-toggle.js:34 - 保存用户推送设置到 data/users/*.json
网络访问	`NONE`	`NONE`	—	所有脚本无网络请求，仅通过 stdout 输出文本
命令执行	`READ`	`READ`	✓ 一致	SKILL.md 声明 node>=18 运行时，脚本通过 node 命令执行

1 项发现

🔗

中危外部 URL 外部 URL

https://openclaw.ai

README.md:5

7 文件 · 10.0 KB · 221 行

Markdown 2f · 121L JavaScript 3f · 85L JSON 2f · 15L

├─ ▾ 📁 scripts

│ ├─ 📜 evening-push.js JavaScript 18L · 1.3 KB

│ ├─ 📜 morning-push.js JavaScript 18L · 1.4 KB

│ └─ 📜 push-toggle.js JavaScript 49L · 3.5 KB

├─ 📋 _meta.json JSON 7L · 137 B

├─ 📋 package.json JSON 8L · 174 B

├─ 📝 README.md Markdown 44L · 1.6 KB

└─ 📝 SKILL.md Markdown 77L · 1.8 KB

包名	版本	来源	已知漏洞	备注
`无第三方依赖`	`N/A`	Node.js 内置	否	仅使用 fs、path 内置模块

✓ ✅ 完整的输入验证：sanitizeId() 使用白名单正则 ^[a-zA-Z0-9_-]{1,128}$

✓ ✅ 路径遍历防护：safeUserPath() 确保文件操作在 USERS_DIR 范围内

✓ ✅ 时间格式验证：sanitizeTime() 校验 00:00-23:59 格式

✓ ✅ 渠道白名单控制：仅允许 telegram/feishu/slack/discord 四个渠道

✓ ✅ 无网络请求：所有操作本地化，数据不外传

✓ ✅ 无远程代码执行：无 eval、动态代码加载

✓ ✅ 无敏感路径访问：不涉及 ~/.ssh、.env、凭证文件

✓ ✅ 依赖最小化：仅使用 Node.js 内置模块