安全决策报告
mingquan-mcp
雨课堂教育工具含未声明的静默遥测功能(claw_report),虽未发现恶意行为,但存在影子功能和数据外传行为。
最直接的威胁证据
01
用户通过 SKILL.md 接触伪装成合法教育工具 初始入口 · SKILL.md
02
安装脚本静默调用未文档化的 claw_report 工具 权限提升 · setup.sh
03
claw_report 上报安装时长和 action=install 遥测数据到外部 MCP 服务器 最终危害 · setup.sh
为什么得出这个结论
2/4 个维度触发 阻止
声明与实际能力
发现 3 项声明之外的能力或越权行为。
复核
隐藏执行与外联
提取到 3 个一般风险产物,需要结合上下文判断。
阻止
攻击链与高危发现
报告包含 3 步攻击链,另有 0 项高危或严重发现。
通过
依赖与供应链卫生
依赖结构存在,但暂未看到明显高危告警。
攻击链
01
用户通过 SKILL.md 接触伪装成合法教育工具
初始入口 · SKILL.md:1
02
安装脚本静默调用未文档化的 claw_report 工具
权限提升 · setup.sh:67
03
claw_report 上报安装时长和 action=install 遥测数据到外部 MCP 服务器
最终危害 · setup.sh:67
风险分是怎么被拉高的
影子功能 — claw_report 未声明 +20
setup.sh:67 调用 claw_report 静默上报安装时长,但 SKILL.md 全文未提及该工具,存在代码做了文档没说的行为。
文档缺失 allowed-tools 声明 +5
SKILL.md 未声明 Bash/execSync/subprocess 等实际调用的工具名称,无法核实权限边界。
静默数据外传 +10
安装时通过 MCP 调用 claw_report,上报 durationMs,可能包含客户端环境指纹,行为隐蔽。
最关键的证据
中危
影子功能:未声明的 claw_report 遥测
setup.sh 第 67-69 行在安装结束时静默调用 npx [email protected] call yuketang-mcp claw_report,上报安装时长和 action=install。此行为未在任何 SKILL.md 文档中声明,属于影子功能。
setup.sh:67 在 SKILL.md 中补充声明安装时会上报匿名遥测数据(durationMs、action),说明数据用途和接收方。
中危
setup.js 存在相同影子功能
setup.js 未被 SKILL.md 直接引用(仅在 setup.sh 说明中以「Windows」选项提及),且同样静默调用 claw_report,与 setup.sh 行为一致但文档完全缺失。
setup.js:49 将 setup.js 纳入正式声明,并补充完整的工具说明。
中危
allowed-tools 缺失声明
SKILL.md 未声明实际使用的工具集(execSync、subprocess、npx),无法验证权限边界是否与声明一致。
SKILL.md:1 在 SKILL.md 顶部元信息中添加 allowed-tools,明确 Bash、Read、Write 等工具的实际调用。
低危
npx mcporter 无版本锁定
setup.sh 和 setup.js 均使用 [email protected](固定版本但非 hash 校验),存在依赖供应链风险。
setup.sh:46 考虑使用 npm install --save-dev @mariozechner/[email protected] 并锁定,或使用 hash 验证下载源。
低危
远程 URL 硬编码无完整性校验
MCP_URL 和 SECRET_URL 硬编码为 rainclassroom.com 域名,未见 SSL 证书校验或完整性校验机制,存在中间人劫持风险。
setup.sh:12 建议增加 HTTPS 证书固定或响应签名验证。
声明能力 vs 实际能力
环境变量 通过
声明 READ
→ 推断 READ
SKILL.md:12 setup.sh:27 — 读取 YUKETANG_SECRET 网络访问 通过
声明 READ
→ 推断 READ
SKILL.md:8 setup.sh:12 — 访问 rainclassroom.com API 命令执行 阻止
声明 NONE
→ 推断 WRITE
setup.sh:46 setup.js:19 — execSync/subprocess 执行 npx mcporter 命令,但 SKILL.md 未声明 文件系统 阻止
声明 NONE
→ 推断 READ
setup.sh:59 setup.js:49 — 写入 MCP 配置文件(如 .mcp/config.json),未在 SKILL.md 声明 技能调用 阻止
声明 NONE
→ 推断 WRITE
setup.sh:67 — 静默调用未文档化的 claw_report 工具,上报安装遥测数据 可疑产物与外联
中危 外部 URL
https://ykt-env-example.rainclassroom.com/ai-workspace/open-claw-skill SKILL.md:16
中危 外部 URL
https://open-envning.rainclassroom.com/openapi/v1/mcp-server/sse package.json:5
中危 外部 URL
https://open-envning.rainclassroom.com/openapi/v1/mcp-server/sse\ setup.sh:59
依赖与供应链
| 包名 | 版本 | 来源 | 漏洞 | 备注 |
|---|---|---|---|---|
| mcporter | 0.8.1 | npx | 否 | 通过 npx 动态拉取,无 hash 校验,存在供应链风险 |
文件构成
5 个文件 · 753 行
Markdown 2 个文件 · 545 行Shell 1 个文件 · 114 行JavaScript 1 个文件 · 83 行JSON 1 个文件 · 11 行
需关注文件 · 4
SKILL.md allowed-tools 缺失声明 · https://ykt-env-example.rainclassroom.com/ai-workspace/open-claw-skill
setup.sh 影子功能:未声明的 claw_report 遥测 · npx mcporter 无版本锁定 · 远程 URL 硬编码无完整性校验 · https://open-envning.rainclassroom.com/openapi/v1/mcp-server/sse\
setup.js setup.js 存在相同影子功能
package.json https://open-envning.rainclassroom.com/openapi/v1/mcp-server/sse
其他文件 · api_references.md
安全亮点
未发现凭证收割行为(不遍历 os.environ 敏感关键字)
未发现反向 shell、C2 通信或数据窃取行为
网络请求指向已知教育平台域名,无裸 IP 或可疑地址
核心功能为合法教育场景(雨课堂课程管理),无越权操作
MCP 服务鉴权依赖 YUKETANG_SECRET Bearer Token,机制合理