rrbdagent 安全扫描报告 — 低风险 | ClawSafe

20 /100

rrbdagent

RRBD Admin项目智能助手，支持通过自然语言创建数字人视频

合法的数字人视频创建API集成工具，凭证本地明文存储存在安全瑕疵但无恶意行为

技能名称rrbdagent

分析耗时47.0s

引擎pi

✓

可以安装

建议：1. 将 config.json 中的凭证明文存储改为加密存储；2. 清理硬编码凭证的测试脚本；3. 删除重复的脚本文件

安全发现 4 项

严重性	安全发现	位置
中危	凭证明文存储 config.json 中以明文存储 default_username 和 default_password，无加密保护机制 `"default_username": "", "default_password": ""` → 建议使用环境变量或加密存储方式管理敏感凭证	`config.json:5`
低危	硬编码测试凭证部分脚本中硬编码了测试账号密码（18098901246/123456），存在凭证泄露风险 `const username = '18098901246'; const password = '123456';` → 删除或修改为从配置文件读取	`scripts/create_another_video.js:12`
低危	大量重复脚本存在30个JavaScript文件，功能高度重复，可能是开发调试过程中的残留文件 `大量功能相似的create_.js、check_.js文件` → 清理重复脚本，保留核心功能文件	`scripts/*.js:1`
提示	memory.json存储用户偏好 memory.json存储用户最近视频列表和登录信息，用于上下文保持 `{"recentVideos":[],"lastLogin":...}` → 正常功能，无安全风险	`memory.json:1`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	index.js:25-42 memory.json读写功能
网络访问	`READ`	`READ`	✓ 一致	api_client.js 仅调用 rrbd20.yzidea.net
命令执行	`NONE`	`NONE`	—	无任何shell执行代码

28 项发现

🔗

中危外部 URL 外部 URL

https://rrbd20.yzidea.net/api

SKILL.md:112

🔗

中危外部 URL 外部 URL

https://rrbd20ims.oss-cn-shenzhen.aliyuncs.com/1962755608750927873/20260318/db53e8268c9a4459a9f1280890962099.mp4

memory.json:8

🔗

中危外部 URL 外部 URL

https://rrbd20ims.oss-cn-shenzhen.aliyuncs.com/1962755608750927873/20260318/2fd0e5fe338745899348050aad92fa03.mp4

memory.json:14

🔗

中危外部 URL 外部 URL

https://rrbd20ims.oss-cn-shenzhen.aliyuncs.com/1962755608750927873/20260318/174f34fc8bce4dc4b7d38e7b5c2818bd.mp4

memory.json:20

💰

中危钱包地址加密货币钱包地址

174f34fc8bce4dc4b7d38e7b5c2818bd

memory.json:20

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/asynckit/-/asynckit-0.4.0.tgz

package-lock.json:17

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/axios/-/axios-1.13.6.tgz

package-lock.json:22

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/call-bind-apply-helpers/-/call-bind-apply-helpers-1.0.2.tgz

package-lock.json:32

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/combined-stream/-/combined-stream-1.0.8.tgz

package-lock.json:44

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/delayed-stream/-/delayed-stream-1.0.0.tgz

package-lock.json:55

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/dunder-proto/-/dunder-proto-1.0.1.tgz

package-lock.json:63

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/es-define-property/-/es-define-property-1.0.1.tgz

package-lock.json:76

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/es-errors/-/es-errors-1.3.0.tgz

package-lock.json:84

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/es-object-atoms/-/es-object-atoms-1.1.1.tgz

package-lock.json:92

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/es-set-tostringtag/-/es-set-tostringtag-2.1.0.tgz

package-lock.json:103

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/follow-redirects/-/follow-redirects-1.15.11.tgz

package-lock.json:117

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/form-data/-/form-data-4.0.5.tgz

package-lock.json:136

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/function-bind/-/function-bind-1.1.2.tgz

package-lock.json:151

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/get-intrinsic/-/get-intrinsic-1.3.0.tgz

package-lock.json:159

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/get-proto/-/get-proto-1.0.1.tgz

package-lock.json:182

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/gopd/-/gopd-1.2.0.tgz

package-lock.json:194

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/has-symbols/-/has-symbols-1.1.0.tgz

package-lock.json:205

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/has-tostringtag/-/has-tostringtag-1.0.2.tgz

package-lock.json:216

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/hasown/-/hasown-2.0.2.tgz

package-lock.json:230

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/math-intrinsics/-/math-intrinsics-1.1.0.tgz

package-lock.json:241

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/mime-db/-/mime-db-1.52.0.tgz

package-lock.json:249

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/mime-types/-/mime-types-2.1.35.tgz

package-lock.json:257

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/proxy-from-env/-/proxy-from-env-1.1.0.tgz

package-lock.json:268

目录结构

37 文件 · 138.6 KB · 4019 行

JavaScript 30f · 3121L JSON 4f · 511L Markdown 1f · 275L Python 2f · 112L

├─ ▾ 📁 scripts

│ ├─ 📜 check_video_status.js JavaScript 63L · 1.7 KB

│ ├─ 🐍 check_video_status.py Python 49L · 1.5 KB

│ ├─ 📜 create_another_video.js JavaScript 43L · 1.5 KB

│ ├─ 📜 create_laozeng_video.js JavaScript 86L · 3.4 KB

│ ├─ 📜 create_video_custom_title.js JavaScript 43L · 1.5 KB

│ ├─ 📜 create_video_fixed.js JavaScript 43L · 1.5 KB

│ ├─ 📜 generate_new_video.js JavaScript 48L · 1.8 KB

│ ├─ 📜 get_videos_now.js JavaScript 57L · 1.7 KB

│ ├─ 📜 just_get_videos.js JavaScript 51L · 1.6 KB

│ ├─ 📜 laozeng_video.js JavaScript 72L · 2.6 KB

│ ├─ 📜 login_and_check.js JavaScript 121L · 3.7 KB

│ ├─ 📜 make_video_now.js JavaScript 76L · 2.7 KB

│ ├─ 📜 quick_check.js JavaScript 83L · 3.1 KB

│ ├─ 📜 show_me_videos.js JavaScript 114L · 3.4 KB

│ ├─ 📜 test_fixed_code.js JavaScript 82L · 2.8 KB

│ ├─ 📜 test_szr_api.js JavaScript 134L · 4.2 KB

│ └─ 📜 videos_please.js JavaScript 27L · 786 B

├─ 📜 api_client.js JavaScript 443L · 15.6 KB

├─ 📜 check_now.js JavaScript 46L · 1.1 KB

├─ 📜 check_simple.js JavaScript 37L · 1.2 KB

├─ 📜 check_videos_now.js JavaScript 40L · 1.0 KB

├─ 🔑 config.json ⚠ JSON 21L · 694 B

├─ 📜 create_video_different_template.js JavaScript 157L · 5.9 KB

├─ 📜 create_video_laozeng_shuai.js JavaScript 158L · 5.9 KB

├─ 📜 create_video_laozeng_shuai2_final.js JavaScript 152L · 5.8 KB

├─ 📜 create_video_laozeng_shuai2.js JavaScript 159L · 5.9 KB

├─ 📜 create_video_using_skill.js JavaScript 146L · 5.1 KB

├─ 📜 index.js JavaScript 450L · 16.9 KB

├─ 📜 list_videos_final.js JavaScript 52L · 1.4 KB

├─ 📜 list_videos_simple.js JavaScript 47L · 1.3 KB

├─ 📜 list_videos.js JavaScript 61L · 1.9 KB

├─ 🐍 list_videos.py Python 63L · 1.8 KB

├─ 📋 memory.json JSON 23L · 948 B

├─ 📋 package-lock.json JSON 447L · 16.9 KB

├─ 📋 package.json JSON 20L · 387 B

├─ 📜 quick_check.js JavaScript 30L · 1003 B

└─ 📝 SKILL.md Markdown 275L · 8.7 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`axios`	`^1.6.2`	npm	否	axios依赖版本较新，无已知漏洞

安全亮点

✓ 所有网络请求仅发送到声明的API端点(rrbd20.yzidea.net)，无未知外部通信

✓ 未发现恶意代码模式（eval、exec、subprocess、反向shell等）

✓ 未发现凭证收割或数据外泄行为

✓ 代码功能与声明用途一致，无阴影功能

✓ 使用axios官方库进行HTTP请求，依赖正常

✓ token仅在内存和配置文件本地存储，无外传