agent-factory 安全扫描报告 — 低风险 | ClawSafe

15 /100

agent-factory

创建新的 OpenClaw Agent 并自动配置飞书机器人

agent-factory 是合法的 OpenClaw Agent 创建工具，仅通过内嵌脚本实现飞书机器人配置，无恶意行为发现

技能名称agent-factory

分析耗时41.5s

引擎pi

✓

可以安装

可用。该 skill 声明清晰，仅包含文档中声明的功能，外部调用仅为飞书官方 API

安全发现 2 项

严重性	安全发现	位置
低危	外部 API 调用调用飞书官方 API 验证用户提供的 appId/appSecret，属于功能必要操作 `Invoke-RestMethod -Uri 'https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal'` → 无需修改，该 API 调用是验证凭证的必要步骤	`SKILL.md:36`
低危	无脚本文件所有代码均内嵌于 SKILL.md 中，无独立脚本文件，增加了代码透明度 `所有脚本以 markdown 代码块形式嵌入文档` → 保持当前设计，代码即文档	`SKILL.md:1`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	SKILL.md:创建 workspace 目录和配置文件
命令执行	`WRITE`	`WRITE`	✓ 一致	SKILL.md:执行 openclaw agents add/config set/gateway restart
网络访问	`READ`	`READ`	✓ 一致	SKILL.md:36 调用飞书认证 API

1 项发现

🔗

中危外部 URL 外部 URL

https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal

SKILL.md:36

2 文件 · 18.6 KB · 657 行

Markdown 1f · 652L JSON 1f · 5L

├─ 📋 _meta.json JSON 5L · 139 B

└─ 📝 SKILL.md Markdown 652L · 18.5 KB

✓ 无独立恶意脚本，所有代码透明内嵌于 SKILL.md

✓ 配置文件写入前有备份机制，防止数据丢失

✓ 使用原子写入操作（temp 文件 + mv）防止写入损坏

✓ 无凭证收割行为（不遍历环境变量或读取敏感文件）

✓ 无数据外泄行为（凭证仅用于飞书 API 验证）

✓ 无 base64/eval/隐藏命令等可疑编码模式

✓ shell 命令均为 openclaw CLI 工具调用，声明明确