扫描报告
15 /100
fanli
商品转链、跨平台比价、历史价格走势查询
电商返利比价工具,声称权限与实际行为一致,代码无恶意行为,仅存在轻微文档过时问题
可以安装
可安全使用,建议验证 fx-base 依赖库来源可信
安全发现 3 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | 文档与代码实现不一致 | README.md:69 |
| 低危 | 外部依赖路径硬编码 | compare-price.mjs,convert.mjs:13 |
| 提示 | API端点使用硬编码域名 | SKILL.md:25 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | READ | ✓ 一致 | SKILL.md 声明 Read({baseDir}/**), 代码仅做模板渲染读取 |
| 命令执行 | WRITE | WRITE | ✓ 一致 | run.mjs:36 使用 spawn 调用 node 脚本 |
| 网络访问 | READ | READ | ✓ 一致 | convert.mjs:68 / compare-price.mjs:64 fxPost 调用外部 API |
| 环境变量 | NONE | READ | ✓ 一致 | 仅读取 FX_AI_API_KEY 用于 API 认证 |
| 技能调用 | NONE | NONE | — | 无跨技能调用 |
10 项发现
中危 外部 URL 外部 URL
https://img.shields.io/badge/ClawHub-fanli-blue README.md:3 中危 外部 URL 外部 URL
https://clawhub.ai/fangshan101-coder/fanli README.md:3 中危 外部 URL 外部 URL
https://platform.fenxiang-ai.com/docs README.md:21 中危 外部 URL 外部 URL
https://u.jd.com/xxx README.md:40 中危 外部 URL 外部 URL
https://platform.fenxiang-ai.com/ SKILL.md:24 中危 外部 URL 外部 URL
https://api-ai-brain.fenxianglife.com SKILL.md:25 中危 外部 URL 外部 URL
https://e.tb.cn/h.iWHhFu8oHNytYbb references/convert-output.md:91 中危 外部 URL 外部 URL
https://img.alicdn.com/bao/uploaded/i3/3937219703/O1CN01C9uNI52LY28zuHGyn.jpg references/convert-output.md:101 中危 外部 URL 外部 URL
https://s.click.taobao.com/na6oIkm references/convert-output.md:117 中危 外部 URL 外部 URL
https://e.tb.cn/h.xxx scripts/compare-price.mjs:34 目录结构
7 文件 · 23.0 KB · 731 行 Markdown 4f · 371L
JavaScript 3f · 360L
├─
▾
references
│ ├─
compare-price-output.md
Markdown
│ └─
convert-output.md
Markdown
├─
▾
scripts
│ ├─
compare-price.mjs
JavaScript
│ ├─
convert.mjs
JavaScript
│ └─
run.mjs
JavaScript
├─
README.md
Markdown
└─
SKILL.md
Markdown
安全亮点
✓ 代码结构清晰,无混淆或隐藏逻辑
✓ 声称的权限与实际行为一致
✓ 错误处理完善,返回用户友好的错误提示
✓ 无凭证收割、远程代码执行或数据外泄行为
✓ 使用 spawn 而非 shell 管道执行,降低命令注入风险