中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 25/100
上次扫描:4 小时前 重新扫描
25 /100
git-monitor
通用 Git 项目监控工具,支持 GitHub、GitLab、Gitee 等所有 Git 平台
Git 项目监控工具,代码功能与文档声明基本一致,存在潜在命令注入风险但无主动恶意行为证据
技能名称git-monitor
分析耗时31.4s
引擎pi
ClawHub Git Monitor v1.1.1 by gushenjie
📥 234 📦 1
ClawHub 判定 可疑 dangerous_execenv_credential_accesspotential_exfiltrationvt_suspicious
可以安装
建议修复 execSync 参数拼接问题,使用数组形式传参以防止命令注入;限制仓库 URL 校验更严格

安全发现 3 项

严重性 安全发现 位置
中危
潜在命令注入风险 代码执行
checkRepository函数中git命令使用字符串拼接方式构建参数,用户输入的仓库URL虽经parseRepoInput解析,但仍存在风险
execSync(`git ${args.join(' ')}`, { encoding: 'utf8', maxBuffer: 10 * 1024 * 1024, cwd: localPath })
→ 使用数组形式传参:execFileSync('git', args, {...}),避免shell解析
 helper.js:198
低危
无依赖版本锁定 供应链
package.json为空对象,无生产依赖但也无版本锁定策略
{}
→ 当前仅使用Node.js内置模块,风险可控
 package.json:1
提示
读取飞书凭证 敏感访问
级联读取飞书凭证(环境变量/OpenClaw配置/本地config),凭证仅用于发送通知,未外传
process.env.FEISHU_APP_ID && process.env.FEISHU_APP_SECRET
→ 确认凭证用途符合预期
 helper.js:43
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 helper.js:19 读写config.json
命令执行 WRITE WRITE ✓ 一致 helper.js:198-201 execSync执行git命令
网络访问 READ WRITE ✓ 一致 helper.js:77-107 发送飞书通知
环境变量 READ READ ✓ 一致 helper.js:43-46 读取飞书凭证环境变量
技能调用 NONE NONE 无子技能调用
7 项发现
🔗
中危 外部 URL 外部 URL
https://gitee.com/mindspore/mindspore
README.md:27
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/
README.md:64
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal
helper.js:105
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis/im/v1/messages
helper.js:118
🔗
中危 外部 URL 外部 URL
https://gitlab.com
helper.js:191
🔗
中危 外部 URL 外部 URL
https://gitee.com
helper.js:192
🔗
中危 外部 URL 外部 URL
https://gitee.com/owner/repo
helper.js:579

目录结构

8 文件 · 28.1 KB · 1025 行
JavaScript 1f · 694L Markdown 2f · 193L Shell 1f · 87L JSON 4f · 51L
├─ 📋 _meta.json JSON 5L · 130 B
├─ 🔑 config.json JSON 31L · 1.0 KB
├─ 📋 config.local.json JSON 9L · 340 B
├─ 📜 helper.js JavaScript 694L · 20.4 KB
├─ 🔧 monitor.sh Shell 87L · 1.9 KB
├─ 📋 package.json JSON 6L · 115 B
├─ 📝 README.md Markdown 64L · 1.1 KB
└─ 📝 SKILL.md Markdown 129L · 3.2 KB

安全亮点

✓ 功能与文档声明一致,无阴影功能
✓ 飞书通知使用官方API(open.feishu.cn),凭证用于通知而非外泄
✓ Git仓库存储在专用目录~/.openclaw/workspace/repos/,与系统敏感目录隔离
✓ 配置文件存储在技能目录内,不在全局路径
✓ 无Base64编码、eval调用或混淆代码
✓ 无远程脚本下载或shell管道执行