xo-protocol 安全扫描报告 — 可信 | ClawSafe

0 /100

xo-protocol

Dating intelligence API — identity verification, compatibility scoring, reputation, and social signals via XO Protocol. 约会信任层 API，验证身份、匹配兼容性、查询声誉。

XO Protocol 是一个合法的约会信任层 API 技能，代码为纯 REST 客户端，仅通过 HTTPS 调用外部 API 端点，无任何恶意行为。

技能名称xo-protocol

分析耗时40.0s

引擎pi

✓

可以安装

无需阻断，可直接使用。

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	sdk/index.js 通过 fetch 调用外部 API，所有代码均通过 HTTPS 进行 REST API 调用，符合 SKILL.md 声明的 API …
文件系统	`NONE`	`NONE`	—	所有代码无任何文件系统读写操作
命令执行	`NONE`	`NONE`	—	无 subprocess、child_process、eval 等代码执行调用
环境变量	`NONE`	`READ`	✓ 一致	examples/mcp-server.js 仅读取 XO_API_KEY 和 XO_ACCESS_TOKEN（功能必需凭证），无遍历敏感环境变量行为

16 项发现

🔗

中危外部 URL 外部 URL

https://xoxo.space/en/protocol

README.md:11

🔗

中危外部 URL 外部 URL

https://protocol.xoxo.space/protocol/docs

README.md:12

🔗

中危外部 URL 外部 URL

https://yourapp.com/callback

README.md:51

🔗

中危外部 URL 外部 URL

https://protocol.xoxo.space/protocol/v1/auth/token

README.md:225

🔗

中危外部 URL 外部 URL

https://xoxo.space/en/oauth/authorize

README.md:235

🔗

中危外部 URL 外部 URL

https://yourapp.com/callback?code=AUTH_CODE&state=random123

README.md:245

🔗

中危外部 URL 外部 URL

https://tools.ietf.org/html/rfc7807

README.md:309

🔗

中危外部 URL 外部 URL

https://xoxo.space/en/protocol#cta

README.md:324

🔗

中危外部 URL 外部 URL

https://xoxo.space

README.md:330

🔗

中危外部 URL 外部 URL

https://yourapp.com/auth/xo/callback

examples/dating-app-integration.js:19

🔗

中危外部 URL 外部 URL

https://protocol.xoxo.space

examples/mcp-server.js:34

🔗

中危外部 URL 外部 URL

https://xoxo.space/en/oauth/authorize?$

examples/quickstart.js:34

🔗

中危外部 URL 外部 URL

https://xoxo.space/protocol

examples/trust-badge.html:139

🔗

中危外部 URL 外部 URL

https://xoxo.space/en/oauth/authorize?client_id=...&redirect_uri=...&scope=...&state=...&response_type=code

openapi.yaml:26

🔗

中危外部 URL 外部 URL

https://staging-api.rooit.net

openapi.yaml:93

🔗

中危外部 URL 外部 URL

https://myapp.com/callback

sdk/index.js:56

目录结构

10 文件 · 69.8 KB · 2327 行

JavaScript 4f · 796L YAML 1f · 748L Markdown 2f · 419L HTML 1f · 243L TypeScript 1f · 105L JSON 1f · 16L

├─ ▾ 📁 examples

│ ├─ 📜 dating-app-integration.js JavaScript 140L · 4.1 KB

│ ├─ 📜 mcp-server.js JavaScript 217L · 5.7 KB

│ ├─ 📜 quickstart.js JavaScript 171L · 4.7 KB

│ └─ 📄 trust-badge.html HTML 243L · 8.5 KB

├─ ▾ 📁 sdk

│ ├─ 📜 index.d.ts TypeScript 105L · 2.4 KB

│ ├─ 📜 index.js JavaScript 268L · 8.4 KB

│ └─ 📋 package.json JSON 16L · 416 B

├─ 📋 openapi.yaml YAML 748L · 22.7 KB

├─ 📝 README.md Markdown 336L · 10.3 KB

└─ 📝 SKILL.md Markdown 83L · 2.7 KB

依赖分析 4 项

包名	版本	来源	已知漏洞	备注
`@modelcontextprotocol/sdk`	`未指定`	npm	否	仅在 examples/mcp-server.js 示例中使用，非 SDK 核心依赖
`express`	`未指定`	npm	否	仅在 examples/dating-app-integration.js 示例中使用，非核心依赖
`express-session`	`未指定`	npm	否	仅在 examples/dating-app-integration.js 示例中使用
`无依赖（核心 SDK）`	`0`	native	否	sdk/index.js 使用原生 fetch，无第三方依赖

安全亮点

✓ 零外部依赖（sdk/index.js 为零依赖纯 fetch 实现）

✓ 所有网络通信均为 HTTPS，目标为明确的 API 域名（protocol.xoxo.space）

✓ OAuth 2.0 流程规范，使用 state 参数防 CSRF，支持 PKCE

✓ 代码结构清晰，无混淆、无 base64 编码、无隐藏逻辑

✓ SKILL.md 声明与代码行为完全一致，无阴影功能

✓ MCP server 严格遵守只读 API 交互，无越权操作