扫描报告
5 /100
虾说 (lobster-says)
AI 伴侣助手,通过 IM 渠道发送截图和定时消息
虾说 AI 伴侣技能,代码结构清晰,主要功能为通过 IM 渠道发送消息/截图和定时推送,无恶意行为。存在轻微越权(filesystem:READ 超出声明范围)但属于标准系统操作。
可以安装
可安全使用。filesystem:READ 超权是轻微瑕疵,如需严格合规可要求开发者调整 allowed-tools 声明。
安全发现 2 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | filesystem:READ 未在 allowed-tools 中声明 | init-lobster.sh:42 |
| 提示 | Transcript 数据上传为设计功能 | digest-transcript.sh:165 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 命令执行 | WRITE | WRITE | ✓ 一致 | 通过 subprocess 执行 openclaw CLI 命令,符合声明 |
| 文件系统 | WRITE | READ+WRITE | ✓ 一致 | init-lobster.sh:42 读取 ~/.openclaw/openclaw.json; digest-transcript.sh 读取 session… |
| 网络访问 | NONE | WRITE | ✓ 一致 | 所有脚本通过 HTTPS API (nixiashuo.com) 进行通信,用于发送消息和获取 studio links |
5 项发现
中危 外部 URL 外部 URL
https://nixiashuo.com/api/memory/ingest SKILL.md:164 中危 外部 URL 外部 URL
https://nixiashuo.com/api/lobster/ SKILL.md:228 中危 外部 URL 外部 URL
https://nixiashuo.com/api/generate SKILL.md:232 中危 外部 URL 外部 URL
https://nixiashuo.com digest-transcript.sh:43 提示 邮箱 邮箱地址
[email protected] README.md:139 目录结构
9 文件 · 100.0 KB · 2860 行 Shell 6f · 2341L
Markdown 2f · 485L
JSON 1f · 34L
├─
digest-transcript.sh
Shell
├─
init-lobster.sh
Shell
├─
openclaw.json
JSON
├─
push-scheduled-message.sh
Shell
├─
README.md
Markdown
├─
send-current-screenshot.sh
Shell
├─
send-studio-link.sh
Shell
├─
setup-cron.sh
Shell
└─
SKILL.md
Markdown
安全亮点
✓ 代码结构清晰,使用标准 Shell + Python 实践
✓ SKILL.md 文档完整,声明与实现基本一致
✓ 所有网络请求使用 HTTPS,无裸 IP 或可疑 URL
✓ 凭证仅用于内部服务通信,无外泄风险
✓ 使用 heredoc 嵌入 Python 代码,避免 eval 注入
✓ 敏感路径访问 (~/.openclaw) 符合工具设计意图