Name: fxai-skill Security Report — Trusted | ClawSafe
Item: fxai-skill
Rating: 92
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

8 /100

fxai-skill

创建 V5 代币（USDT/BNB 池子可选），支持 USDT/BNB 买入卖出

FXAI 代币创建技能，代码实现与文档声明一致，为合法 BNB Chain 代币创建工具，无恶意行为发现

Skill Namefxai-skill

Duration34.7s

Enginepi

ClawHub FXAI v1.0.4 by nathanthoreaurl

📥 214 📦 1 ⭐ 2

ClawHub Verdict Suspicious llm_suspiciouspotential_exfiltrationvt_suspicious

✓

Safe to install

可安全使用。依赖版本锁定使用 ^ 可考虑收紧为精确版本以增强供应链安全

Findings 1 items

Severity	Finding	Location
Low	依赖版本使用 ^ 锁定 Supply Chain package.json 中 axios、form-data、viem 使用 ^ 允许次要版本更新，虽非高危但建议考虑精确版本锁定 `"axios": "^1.6.0"` → 考虑使用精确版本或使用 lockfile 确保依赖一致性	`package.json:10`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md:上传图片需读取本地文件
Network	`READ`	`READ`	✓ Aligned	SKILL.md:上传到 https://funcs.flap.sh/api/upload
Shell	`NONE`	`NONE`	—	无 shell 执行
Database	`NONE`	`NONE`	—	无数据库操作

15 findings

🔗

Medium External URL 外部 URL

https://docs.bnbchain.org/showcase/mcp/skills/

README.md:3

💰

Medium Wallet Address 加密货币钱包地址

0x8f059fEb5f34031EfFA024e9EB8C9968BfFE516a

README.md:9

🔗

Medium External URL 外部 URL

https://funcs.flap.sh/api/upload

README.md:21

💰

Medium Wallet Address 加密货币钱包地址

0x55d398326f99059fF775485246999027B3197955

SKILL.md:17

🔗

Medium External URL 外部 URL

https://paulmillr.com/funding/

package-lock.json:31

🔗

Medium External URL 外部 URL

https://docs.flap.sh/flap/developers/token-launcher-developers/launch-token-through-portal

scripts/find-vanity-salt.js:4

🔗

Medium External URL 外部 URL

https://docs.flap.sh/flap/developers/token-launcher-developers/deployed-contract-addresses

scripts/find-vanity-salt.js:13

🔗

Medium External URL 外部 URL

https://docs.flap.sh/flap/developers/token-launcher-developers/launch-token-through-portal#3-find-the-salt-vanity-suffix

scripts/find-vanity-salt.js:14

💰

Medium Wallet Address 加密货币钱包地址

0xe2cE6ab80874Fa9Fa2aAE65D277Dd6B8e65C9De0

scripts/find-vanity-salt.js:16

💰

Medium Wallet Address 加密货币钱包地址

0x8b4329947e34b6d56d71a3385cac122bade7d78d

scripts/find-vanity-salt.js:17

💰

Medium Wallet Address 加密货币钱包地址

0x29e6383F0ce68507b5A72a53c2B118a118332aA8

scripts/find-vanity-salt.js:18

💰

Medium Wallet Address 加密货币钱包地址

0xae562c6A05b798499507c6276C6Ed796027807BA

scripts/find-vanity-salt.js:19

💰

Medium Wallet Address 加密货币钱包地址

0x3d602d80600a3d3981f3363d3d373d3d3d363d73

scripts/find-vanity-salt.js:23

🔗

Medium External URL 外部 URL

https://funcs.flap.sh/api/upload（必须用此

scripts/upload-token-meta.js:5

💰

Medium Wallet Address 加密货币钱包地址

0x0000000000000000000000000000000000000000

scripts/upload-token-meta.js:39

File Tree

8 files · 36.0 KB · 1152 lines

JSON 3f · 527L Markdown 3f · 404L JavaScript 2f · 221L

├─ ▾ 📁 references

│ └─ 📝 contract-abi.md Markdown 176L · 4.6 KB

├─ ▾ 📁 scripts

│ ├─ 📜 find-vanity-salt.js JavaScript 109L · 4.1 KB

│ └─ 🔑 upload-token-meta.js ⚠ JavaScript 112L · 3.3 KB

├─ 📋 clawhub.json JSON 12L · 753 B

├─ 📋 package-lock.json JSON 500L · 16.6 KB

├─ 📋 package.json JSON 15L · 377 B

├─ 📝 README.md Markdown 88L · 1.8 KB

└─ 📝 SKILL.md Markdown 140L · 4.4 KB

Dependencies 3 items

Package	Version	Source	Known Vulns	Notes
`axios`	`^1.6.0`	npm	No	使用 ^ 锁定，允许 1.x 次版本更新
`form-data`	`^4.0.0`	npm	No	使用 ^ 锁定
`viem`	`^2.0.0`	npm	No	使用 ^ 锁定，主流以太坊库

Security Positives

✓ SKILL.md 完整声明了外部上传行为和网络目标

✓ 代码功能与文档描述完全一致

✓ upload-token-meta.js 只上传图片和元数据，不包含额外数据外泄

✓ find-vanity-salt.js 为纯本地计算脚本，不涉及网络通信

✓ 无 base64 编码执行、eval、shell 管道等可疑模式

✓ 无凭证收割、环境变量遍历等敏感操作

✓ 依赖均为标准 npm 包（axios、viem）

Scan Report

Findings 1 items

File Tree

Dependencies 3 items

Security Positives