fanli Security Report — Low Risk | ClawSafe

15 /100

fanli

商品转链、跨平台比价、历史价格走势查询

电商返利比价工具，声称权限与实际行为一致，代码无恶意行为，仅存在轻微文档过时问题

Skill Namefanli

Duration31.7s

Enginepi

✓

Safe to install

可安全使用，建议验证 fx-base 依赖库来源可信

Findings 3 items

Severity	Finding	Location
Low	文档与代码实现不一致 README.md 声明需要 Python 3 和 curl，但实际脚本完全使用 Node.js 实现 `- Python 3 - curl` → 更新 README.md 移除 Python/curl 依赖声明	`README.md:69`
Low	外部依赖路径硬编码脚本依赖相对路径 ../../fx-base/scripts/fx-api.mjs，若路径不存在会提示用户安装 `const _fxApiPath = join(_scriptDir, '../../fx-base/scripts/fx-api.mjs')` → 考虑使用 npm 包管理依赖以提高可移植性	`compare-price.mjs,convert.mjs:13`
Info	API端点使用硬编码域名数据流向声明使用 https://api-ai-brain.fenxianglife.com，应确保信任该服务 `https://api-ai-brain.fenxianglife.com` → 用户使用前应确认对该服务的数据信任	`SKILL.md:25`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md 声明 Read({baseDir}/**), 代码仅做模板渲染读取
Shell	`WRITE`	`WRITE`	✓ Aligned	run.mjs:36 使用 spawn 调用 node 脚本
Network	`READ`	`READ`	✓ Aligned	convert.mjs:68 / compare-price.mjs:64 fxPost 调用外部 API
Environment	`NONE`	`READ`	✓ Aligned	仅读取 FX_AI_API_KEY 用于 API 认证
Skill Invoke	`NONE`	`NONE`	—	无跨技能调用

10 findings

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/ClawHub-fanli-blue

README.md:3

🔗

Medium External URL 外部 URL

https://clawhub.ai/fangshan101-coder/fanli

README.md:3

🔗

Medium External URL 外部 URL

https://platform.fenxiang-ai.com/docs

README.md:21

🔗

Medium External URL 外部 URL

https://u.jd.com/xxx

README.md:40

🔗

Medium External URL 外部 URL

https://platform.fenxiang-ai.com/

SKILL.md:24

🔗

Medium External URL 外部 URL

https://api-ai-brain.fenxianglife.com

SKILL.md:25

🔗

Medium External URL 外部 URL

https://e.tb.cn/h.iWHhFu8oHNytYbb

references/convert-output.md:91

🔗

Medium External URL 外部 URL

https://img.alicdn.com/bao/uploaded/i3/3937219703/O1CN01C9uNI52LY28zuHGyn.jpg

references/convert-output.md:101

🔗

Medium External URL 外部 URL

https://s.click.taobao.com/na6oIkm

references/convert-output.md:117

🔗

Medium External URL 外部 URL

https://e.tb.cn/h.xxx

scripts/compare-price.mjs:34

File Tree

7 files · 23.0 KB · 731 lines

Markdown 4f · 371L JavaScript 3f · 360L

├─ ▾ 📁 references

│ ├─ 📝 compare-price-output.md Markdown 39L · 1.1 KB

│ └─ 📝 convert-output.md Markdown 148L · 4.5 KB

├─ ▾ 📁 scripts

│ ├─ 📜 compare-price.mjs JavaScript 116L · 3.6 KB

│ ├─ 📜 convert.mjs JavaScript 112L · 3.3 KB

│ └─ 📜 run.mjs JavaScript 132L · 3.9 KB

├─ 📝 README.md Markdown 87L · 2.0 KB

└─ 📝 SKILL.md Markdown 97L · 4.6 KB

Security Positives

✓ 代码结构清晰，无混淆或隐藏逻辑

✓ 声称的权限与实际行为一致

✓ 错误处理完善，返回用户友好的错误提示

✓ 无凭证收割、远程代码执行或数据外泄行为

✓ 使用 spawn 而非 shell 管道执行，降低命令注入风险

Scan Report

Findings 3 items

File Tree

Security Positives