Name: likes-training-planner Security Report — Low Risk | ClawSafe
Item: likes-training-planner
Rating: 75
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

25 /100

likes-training-planner

My Likes 平台一站式训练计划解决方案

合法的 My Likes 平台训练计划工具，安装脚本存在 curl|bash 模式但代码本身无恶意行为

Skill Namelikes-training-planner

Duration54.0s

Enginepi

ClawHub Likes Training Planner v1.0.0 by chenwynn

📥 168

ClawHub Verdict Suspicious env_credential_accessllm_suspiciouspotential_exfiltration

✓

Safe to install

可安全使用。建议通过手动下载 .skill 文件替代 curl|bash 安装方式以降低供应链风险

Findings 2 items

Severity	Finding	Location
Medium	curl\|bash 安装模式存在供应链风险 Supply Chain SKILL.md 文档中多处推荐使用 curl\|bash 方式安装，存在服务器端内容可被篡改的风险 `curl -fsSL https://gitee.com/chenyinshu/likes-training-planner/raw/main/install.sh \| bash` → 建议改用手动下载 .skill 文件后 unzip 安装的方式	`README.en.md:35, likes-training-planner/SKILL.md:297:35`
Low	权限声明缺失 Doc Mismatch SKILL.md 未明确声明 allowed-tools 权限范围，文件读写和网络请求依赖隐式能力 `metadata.openclaw 部分未定义 allowedTools` → 建议在 metadata 中明确声明 filesystem:WRITE, network:READ	`SKILL.md:1:1`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ_WRITE`	`WRITE`	✓ Aligned	scripts/configure.cjs:33 保存配置到 ~/.openclaw/
Network	`READ`	`READ`	✓ Aligned	fetch_activities.cjs:66 仅请求 my.likes.com.cn
Shell	`NONE`	`NODE`	✓ Aligned	仅执行 node 脚本，无裸 bash

2 Critical 9 findings

💀

Critical Dangerous Command 危险 Shell 命令

curl -fsSL https://gitee.com/chenyinshu/likes-training-planner/raw/main/install.sh | bash

README.en.md:35

💀

Critical Dangerous Command 危险 Shell 命令

curl -fsSL https://raw.githubusercontent.com/chenwynn/likes-training-planner/main/install.sh | bash

likes-training-planner/SKILL.md:297

🔗

Medium External URL 外部 URL

https://gitee.com/chenyinshu/likes-training-planner/raw/main/install.sh

README.en.md:35

🔗

Medium External URL 外部 URL

https://gitee.com/chenyinshu/likes-training-planner/releases/latest/download/likes-training-planner.skill

README.en.md:43

🔗

Medium External URL 外部 URL

http://127.0.0.1:18789

README.en.md:56

🔗

Medium External URL 外部 URL

https://my.likes.com.cn

README.en.md:63

🔗

Medium External URL 外部 URL

https://gitee.com/chenyinshu/likes-training-planner

README.en.md:276

🔗

Medium External URL 外部 URL

https://gitee.com/chenyinshu/likes-training-planner/releases

README.en.md:277

🔗

Medium External URL 外部 URL

https://my.likes.com.cn/api/open

likes-training-planner/references/api-docs.md:8

File Tree

45 files · 248.8 KB · 9197 lines

JavaScript 31f · 5646L Markdown 11f · 3401L Shell 3f · 150L

├─ ▾ 📁 likes-training-planner

│ ├─ ▾ 📁 references

│ │ ├─ 📝 api-docs.md Markdown 484L · 11.8 KB

│ │ ├─ 📝 code-format.md Markdown 207L · 4.2 KB

│ │ └─ 📝 sport-examples.md Markdown 268L · 6.5 KB

│ ├─ ▾ 📁 scripts

│ │ ├─ 📜 add_feedback_comment.cjs JavaScript 190L · 5.3 KB

│ │ ├─ 📜 analyze_data.cjs JavaScript 162L · 4.5 KB

│ │ ├─ 📜 bot-config.cjs JavaScript 209L · 5.0 KB

│ │ ├─ 📜 bot-router.js JavaScript 52L · 2.0 KB

│ │ ├─ 📜 configure.cjs JavaScript 89L · 2.2 KB

│ │ ├─ 📜 fetch_ability.cjs JavaScript 240L · 8.0 KB

│ │ ├─ 📜 fetch_activities.cjs JavaScript 287L · 8.4 KB

│ │ ├─ 📜 fetch_feedback.cjs JavaScript 247L · 7.1 KB

│ │ ├─ 📜 fetch_game.cjs JavaScript 193L · 5.2 KB

│ │ ├─ 📜 fetch_games.cjs JavaScript 175L · 4.7 KB

│ │ ├─ 📜 fetch_plans.cjs JavaScript 179L · 4.6 KB

│ │ ├─ 📜 get_activity_detail.cjs JavaScript 202L · 5.8 KB

│ │ ├─ 📜 preview_plan.cjs JavaScript 204L · 5.5 KB

│ │ ├─ 📜 push_plans.cjs JavaScript 321L · 10.4 KB

│ │ ├─ 📜 push_plans.js JavaScript 128L · 3.3 KB

│ │ ├─ 🔧 push_plans.sh Shell 18L · 529 B

│ │ └─ 📜 set-config.cjs JavaScript 65L · 1.6 KB

│ └─ 📝 SKILL.md Markdown 298L · 8.0 KB

├─ ▾ 📁 references

│ ├─ 📝 api-docs.md Markdown 416L · 9.8 KB

│ ├─ 📝 code-format.md Markdown 207L · 4.2 KB

│ └─ 📝 sport-examples.md Markdown 268L · 6.5 KB

├─ ▾ 📁 scripts

│ ├─ 📜 add_feedback_comment.cjs JavaScript 190L · 5.3 KB

│ ├─ 📜 analyze_data.cjs JavaScript 162L · 4.5 KB

│ ├─ 📜 bot-config.cjs JavaScript 209L · 5.0 KB

│ ├─ 📜 bot-router.js JavaScript 52L · 2.0 KB

│ ├─ 📜 configure.cjs JavaScript 89L · 2.2 KB

│ ├─ 📜 fetch_activities.cjs JavaScript 287L · 8.4 KB

│ ├─ 📜 fetch_feedback.cjs JavaScript 247L · 7.1 KB

│ ├─ 📜 fetch_game.cjs JavaScript 193L · 5.2 KB

│ ├─ 📜 fetch_games.cjs JavaScript 175L · 4.7 KB

│ ├─ 📜 fetch_plans.cjs JavaScript 179L · 4.6 KB

│ ├─ 📜 get_activity_detail.cjs JavaScript 202L · 5.8 KB

│ ├─ 📜 preview_plan.cjs JavaScript 204L · 5.5 KB

│ ├─ 📜 push_plans.cjs JavaScript 321L · 10.4 KB

│ ├─ 📜 push_plans.js JavaScript 128L · 3.3 KB

│ ├─ 🔧 push_plans.sh Shell 18L · 529 B

│ └─ 📜 set-config.cjs JavaScript 65L · 1.6 KB

├─ 🔧 install.sh Shell 114L · 3.6 KB

├─ 📝 README.en.md Markdown 314L · 8.7 KB

├─ 📝 README.md Markdown 316L · 8.4 KB

├─ 📝 README.zh.md Markdown 314L · 8.4 KB

└─ 📝 SKILL.md Markdown 309L · 8.4 KB

Security Positives

✓ 所有脚本功能与文档描述一致，无阴影功能

✓ 仅使用 Node.js 内置模块，无外部依赖

✓ 所有网络请求仅发往 my.likes.com.cn 官方 API

✓ API 密钥仅用于本地认证，不外传

✓ install.sh 代码本身无恶意行为，仅做包下载解压

✓ 无 base64 编码、eval() 或其他混淆技术

✓ 代码结构清晰，易于审计

Scan Report

Findings 2 items

File Tree

Security Positives