Name: fxai-skill 安全扫描报告 — 可信 | ClawSafe
Item: fxai-skill
Rating: 92
Author: ClawSafe

8 /100

fxai-skill

创建 V5 代币（USDT/BNB 池子可选），支持 USDT/BNB 买入卖出

FXAI 代币创建技能，代码实现与文档声明一致，为合法 BNB Chain 代币创建工具，无恶意行为发现

技能名称fxai-skill

分析耗时34.7s

引擎pi

ClawHub FXAI v1.0.4 by nathanthoreaurl

📥 214 📦 1 ⭐ 2

ClawHub 判定可疑 llm_suspiciouspotential_exfiltrationvt_suspicious

✓

可以安装

可安全使用。依赖版本锁定使用 ^ 可考虑收紧为精确版本以增强供应链安全

安全发现 1 项

严重性	安全发现	位置
低危	依赖版本使用 ^ 锁定供应链 package.json 中 axios、form-data、viem 使用 ^ 允许次要版本更新，虽非高危但建议考虑精确版本锁定 `"axios": "^1.6.0"` → 考虑使用精确版本或使用 lockfile 确保依赖一致性	`package.json:10`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	SKILL.md:上传图片需读取本地文件
网络访问	`READ`	`READ`	✓ 一致	SKILL.md:上传到 https://funcs.flap.sh/api/upload
命令执行	`NONE`	`NONE`	—	无 shell 执行
数据库	`NONE`	`NONE`	—	无数据库操作

15 项发现

🔗

中危外部 URL 外部 URL

https://docs.bnbchain.org/showcase/mcp/skills/

README.md:3

💰

中危钱包地址加密货币钱包地址

0x8f059fEb5f34031EfFA024e9EB8C9968BfFE516a

README.md:9

🔗

中危外部 URL 外部 URL

https://funcs.flap.sh/api/upload

README.md:21

💰

中危钱包地址加密货币钱包地址

0x55d398326f99059fF775485246999027B3197955

SKILL.md:17

🔗

中危外部 URL 外部 URL

https://paulmillr.com/funding/

package-lock.json:31

🔗

中危外部 URL 外部 URL

https://docs.flap.sh/flap/developers/token-launcher-developers/launch-token-through-portal

scripts/find-vanity-salt.js:4

🔗

中危外部 URL 外部 URL

https://docs.flap.sh/flap/developers/token-launcher-developers/deployed-contract-addresses

scripts/find-vanity-salt.js:13

🔗

中危外部 URL 外部 URL

https://docs.flap.sh/flap/developers/token-launcher-developers/launch-token-through-portal#3-find-the-salt-vanity-suffix

scripts/find-vanity-salt.js:14

💰

中危钱包地址加密货币钱包地址

0xe2cE6ab80874Fa9Fa2aAE65D277Dd6B8e65C9De0

scripts/find-vanity-salt.js:16

💰

中危钱包地址加密货币钱包地址

0x8b4329947e34b6d56d71a3385cac122bade7d78d

scripts/find-vanity-salt.js:17

💰

中危钱包地址加密货币钱包地址

0x29e6383F0ce68507b5A72a53c2B118a118332aA8

scripts/find-vanity-salt.js:18

💰

中危钱包地址加密货币钱包地址

0xae562c6A05b798499507c6276C6Ed796027807BA

scripts/find-vanity-salt.js:19

💰

中危钱包地址加密货币钱包地址

0x3d602d80600a3d3981f3363d3d373d3d3d363d73

scripts/find-vanity-salt.js:23

🔗

中危外部 URL 外部 URL

https://funcs.flap.sh/api/upload（必须用此

scripts/upload-token-meta.js:5

💰

中危钱包地址加密货币钱包地址

0x0000000000000000000000000000000000000000

scripts/upload-token-meta.js:39

目录结构

8 文件 · 36.0 KB · 1152 行

JSON 3f · 527L Markdown 3f · 404L JavaScript 2f · 221L

├─ ▾ 📁 references

│ └─ 📝 contract-abi.md Markdown 176L · 4.6 KB

├─ ▾ 📁 scripts

│ ├─ 📜 find-vanity-salt.js JavaScript 109L · 4.1 KB

│ └─ 🔑 upload-token-meta.js ⚠ JavaScript 112L · 3.3 KB

├─ 📋 clawhub.json JSON 12L · 753 B

├─ 📋 package-lock.json JSON 500L · 16.6 KB

├─ 📋 package.json JSON 15L · 377 B

├─ 📝 README.md Markdown 88L · 1.8 KB

└─ 📝 SKILL.md Markdown 140L · 4.4 KB

依赖分析 3 项

包名	版本	来源	已知漏洞	备注
`axios`	`^1.6.0`	npm	否	使用 ^ 锁定，允许 1.x 次版本更新
`form-data`	`^4.0.0`	npm	否	使用 ^ 锁定
`viem`	`^2.0.0`	npm	否	使用 ^ 锁定，主流以太坊库

安全亮点

✓ SKILL.md 完整声明了外部上传行为和网络目标

✓ 代码功能与文档描述完全一致

✓ upload-token-meta.js 只上传图片和元数据，不包含额外数据外泄

✓ find-vanity-salt.js 为纯本地计算脚本，不涉及网络通信

✓ 无 base64 编码执行、eval、shell 管道等可疑模式

✓ 无凭证收割、环境变量遍历等敏感操作

✓ 依赖均为标准 npm 包（axios、viem）