Scan Report
15 /100
token-sop
本地工作流缓存技能,自动保存成功的工作流到本地,下次执行相同任务时自动调取,节省 Token
功能正常的工作流缓存技能,代码与文档基本一致,包含 PII 清理机制,存在轻微的隐私配置和清理覆盖度瑕疵
Safe to install
可安全使用,建议将 auto_contribute 默认值改为 false 以增强隐私保护,并扩大 PII 清理覆盖范围
Findings 3 items
| Severity | Finding | Location |
|---|---|---|
| Low | PII清理覆盖范围有限 Doc Mismatch | src/sanitizer.ts:58 |
| Low | 自动贡献默认启用未明确告知 Doc Mismatch | skill.json:16 |
| Low | 工作流本地存储路径固定 Sensitive Access | src/local-store.ts:22 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | WRITE | WRITE | ✓ Aligned | local-store.ts:48 使用 fs.writeFileSync 写入 ~/.openclaw/workflows |
| Network | READ+POST | READ+POST | ✓ Aligned | cloud-client.ts:20 使用 undici 向 api.ainclaw.com 发送请求 |
| Environment | NONE | READ | ✓ Aligned | local-store.ts:49 读取 process.env.HOME 用于存储路径 |
| Skill Invoke | WRITE | WRITE | ✓ Aligned | interceptor.ts:63 调用 lobster.execute() 执行工作流 |
2 findings
Medium External URL 外部 URL
https://api.ainclaw.com SKILL.md:45 Medium External URL 外部 URL
https://clawhub.dev/skills/token-sop skill.json:7 File Tree
32 files · 72.9 KB · 2514 lines TypeScript 17f · 1405L
JavaScript 9f · 883L
JSON 4f · 143L
Markdown 2f · 83L
├─
▾
dist
│ ├─
client.d.ts
TypeScript
│ ├─
client.js
JavaScript
│ ├─
cloud-client.d.ts
TypeScript
│ ├─
cloud-client.js
JavaScript
│ ├─
index.d.ts
TypeScript
│ ├─
index.js
JavaScript
│ ├─
intent-parser.d.ts
TypeScript
│ ├─
intent-parser.js
JavaScript
│ ├─
interceptor.d.ts
TypeScript
│ ├─
interceptor.js
JavaScript
│ ├─
local-store.d.ts
TypeScript
│ ├─
local-store.js
JavaScript
│ ├─
sanitizer.d.ts
TypeScript
│ ├─
sanitizer.js
JavaScript
│ ├─
trace-compiler.d.ts
TypeScript
│ ├─
trace-compiler.js
JavaScript
│ ├─
types.d.ts
TypeScript
│ └─
types.js
JavaScript
├─
▾
src
│ ├─
cloud-client.ts
TypeScript
│ ├─
index.ts
TypeScript
│ ├─
intent-parser.ts
TypeScript
│ ├─
interceptor.ts
TypeScript
│ ├─
local-store.ts
TypeScript
│ ├─
sanitizer.ts
TypeScript
│ ├─
trace-compiler.ts
TypeScript
│ └─
types.ts
TypeScript
├─
package-lock.json
JSON
├─
package.json
JSON
├─
README.md
Markdown
├─
skill.json
JSON
├─
SKILL.md
Markdown
└─
tsconfig.json
JSON
Dependencies 1 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
undici | ^7.2.0 | npm | No | Node.js HTTP客户端,版本锁定 |
Security Positives
✓ 代码结构清晰,模块职责明确(interceptor/cloud-client/local-store/sanitizer分离)
✓ 包含 PII 清理机制(sanitizer.ts),防止敏感信息外传
✓ 声明的 permissions 与实际使用的 API 基本匹配
✓ 使用 HTTPS 加密传输,通信安全
✓ 错误处理完善,云端不可用时优雅降级
✓ 工作流执行前有 validation 检查
✓ 仅依赖轻量级第三方库 undici