中文 EN
Start Review
Skill Trust Decision

mingquan-mcp

雨课堂教育工具含未声明的静默遥测功能(claw_report),虽未发现恶意行为,但存在影子功能和数据外传行为。

Install decision first Source: Manual upload Scanned: Apr 3, 2026
Files 5
Artifacts 3
Violations 3
Findings 5
Most direct threat evidence
01
用户通过 SKILL.md 接触伪装成合法教育工具 Entry · SKILL.md
02
安装脚本静默调用未文档化的 claw_report 工具 Escalation · setup.sh
03
claw_report 上报安装时长和 action=install 遥测数据到外部 MCP 服务器 Impact · setup.sh

Why this conclusion was reached

2/4 dimensions flagged
Block
Declared vs actual capability

3 undeclared or violating capabilities were inferred.

Review
Hidden execution and egress

3 lower-risk artifacts were extracted and still need context.

Block
Attack chain and severe findings

The report includes 3 attack-chain steps and 0 severe findings.

Pass
Dependencies and supply chain hygiene

Dependencies are present but no obvious high-risk issue stands out.

Attack Chain

01
用户通过 SKILL.md 接触伪装成合法教育工具

Entry · SKILL.md:1

02
安装脚本静默调用未文档化的 claw_report 工具

Escalation · setup.sh:67

03
claw_report 上报安装时长和 action=install 遥测数据到外部 MCP 服务器

Impact · setup.sh:67

What drove the risk score up

影子功能 — claw_report 未声明 +20

setup.sh:67 调用 claw_report 静默上报安装时长,但 SKILL.md 全文未提及该工具,存在代码做了文档没说的行为。

文档缺失 allowed-tools 声明 +5

SKILL.md 未声明 Bash/execSync/subprocess 等实际调用的工具名称,无法核实权限边界。

静默数据外传 +10

安装时通过 MCP 调用 claw_report,上报 durationMs,可能包含客户端环境指纹,行为隐蔽。

Most important evidence

Medium

影子功能:未声明的 claw_report 遥测

setup.sh 第 67-69 行在安装结束时静默调用 npx [email protected] call yuketang-mcp claw_report,上报安装时长和 action=install。此行为未在任何 SKILL.md 文档中声明,属于影子功能。

setup.sh:67
在 SKILL.md 中补充声明安装时会上报匿名遥测数据(durationMs、action),说明数据用途和接收方。
Medium

setup.js 存在相同影子功能

setup.js 未被 SKILL.md 直接引用(仅在 setup.sh 说明中以「Windows」选项提及),且同样静默调用 claw_report,与 setup.sh 行为一致但文档完全缺失。

setup.js:49
将 setup.js 纳入正式声明,并补充完整的工具说明。
Medium

allowed-tools 缺失声明

SKILL.md 未声明实际使用的工具集(execSync、subprocess、npx),无法验证权限边界是否与声明一致。

SKILL.md:1
在 SKILL.md 顶部元信息中添加 allowed-tools,明确 Bash、Read、Write 等工具的实际调用。
Low

npx mcporter 无版本锁定

setup.sh 和 setup.js 均使用 [email protected](固定版本但非 hash 校验),存在依赖供应链风险。

setup.sh:46
考虑使用 npm install --save-dev @mariozechner/[email protected] 并锁定,或使用 hash 验证下载源。
Low

远程 URL 硬编码无完整性校验

MCP_URL 和 SECRET_URL 硬编码为 rainclassroom.com 域名,未见 SSL 证书校验或完整性校验机制,存在中间人劫持风险。

setup.sh:12
建议增加 HTTPS 证书固定或响应签名验证。

Declared capability vs actual capability

Environment Pass
Declared READ
Inferred READ
SKILL.md:12 setup.sh:27 — 读取 YUKETANG_SECRET
Network Pass
Declared READ
Inferred READ
SKILL.md:8 setup.sh:12 — 访问 rainclassroom.com API
Shell Block
Declared NONE
Inferred WRITE
setup.sh:46 setup.js:19 — execSync/subprocess 执行 npx mcporter 命令,但 SKILL.md 未声明
Filesystem Block
Declared NONE
Inferred READ
setup.sh:59 setup.js:49 — 写入 MCP 配置文件(如 .mcp/config.json),未在 SKILL.md 声明
Skill Invoke Block
Declared NONE
Inferred WRITE
setup.sh:67 — 静默调用未文档化的 claw_report 工具,上报安装遥测数据

Suspicious artifacts and egress

Medium External URL
https://ykt-env-example.rainclassroom.com/ai-workspace/open-claw-skill

SKILL.md:16

Medium External URL
https://open-envning.rainclassroom.com/openapi/v1/mcp-server/sse

package.json:5

Medium External URL
https://open-envning.rainclassroom.com/openapi/v1/mcp-server/sse\

setup.sh:59

Dependencies and supply chain

PackageVersionSourceKnown vulnNotes
mcporter 0.8.1 npx No 通过 npx 动态拉取,无 hash 校验,存在供应链风险

File composition

5 files · 753 lines
Markdown 2 files · 545 linesShell 1 files · 114 linesJavaScript 1 files · 83 linesJSON 1 files · 11 lines
Files of concern · 4
SKILL.md Markdown · 324 lines
allowed-tools 缺失声明 · https://ykt-env-example.rainclassroom.com/ai-workspace/open-claw-skill
setup.sh Shell · 114 lines
影子功能:未声明的 claw_report 遥测 · npx mcporter 无版本锁定 · 远程 URL 硬编码无完整性校验 · https://open-envning.rainclassroom.com/openapi/v1/mcp-server/sse\
setup.js JavaScript · 83 lines
setup.js 存在相同影子功能
package.json JSON · 11 lines
https://open-envning.rainclassroom.com/openapi/v1/mcp-server/sse
Other files · api_references.md

Security positives

未发现凭证收割行为(不遍历 os.environ 敏感关键字)
未发现反向 shell、C2 通信或数据窃取行为
网络请求指向已知教育平台域名,无裸 IP 或可疑地址
核心功能为合法教育场景(雨课堂课程管理),无越权操作
MCP 服务鉴权依赖 YUKETANG_SECRET Bearer Token,机制合理