kunwu-builder-skill Security Report — Trusted | ClawSafe

15 /100

kunwu-builder-skill

Kunwu Builder 坤吾工业仿真软件控制技能，通过 HTTP API 控制模型加载、装配、行为配置等

纯 HTTP API 客户端技能，用于控制 Kunwu Builder 工业仿真软件，无恶意行为，仅存在文档与代码 API 地址不一致的轻微瑕疵。

Skill Namekunwu-builder-skill

Duration63.1s

Enginepi

✓

Safe to install

可安全使用。建议统一 SKILL.md 与代码中的默认 API 地址（当前为 192.168.30.9 vs 100.85.119.45）。

Findings 1 items

Severity	Finding	Location
Low	默认 API 地址文档与代码不一致 Doc Mismatch SKILL.md 声明默认 API 地址为 192.168.30.9:16888，但 kunwu-tool.js:8 实际使用 100.85.119.45:16888。这是同一内网地址的不同配置，属于配置管理问题而非安全威胁。 `const BASE_URL = process.env.KUNWU_API_URL \|\| 'http://100.85.119.45:16888';` → 统一文档与代码中的默认 API 地址，避免用户困惑	`kunwu-tool.js:8`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	kunwu-tool.js:8 使用 http.request 调用本地/内网 API
Filesystem	`NONE`	`NONE`	—	仅 scripts/model-loader.js 读取本地 JSON 配置文件用于加载模型列表
Shell	`NONE`	`NONE`	—	无任何 shell 执行代码，纯 HTTP API 调用

1 High 5 findings

📡

High IP Address 硬编码 IP 地址

100.85.119.45

EXPORT-GUIDE.md:77

🔗

Medium External URL 外部 URL

http://127.0.0.1:16888

EXPORT-GUIDE.md:74

🔗

Medium External URL 外部 URL

http://100.85.119.45:16888

EXPORT-GUIDE.md:77

🔗

Medium External URL 外部 URL

http://127.0.0.1:16888/system/ping

EXPORT-GUIDE.md:257

🔗

Medium External URL 外部 URL

http://192.168.30.9:16888

SKILL.md:9

File Tree

72 files · 403.3 KB · 13767 lines

JavaScript 58f · 10860L Markdown 11f · 2789L JSON 3f · 118L

├─ ▾ 📁 scripts

│ ├─ 📜 model-loader.js JavaScript 242L · 6.3 KB

│ ├─ 📋 models-dual-robot-trays.json JSON 73L · 1.4 KB

│ └─ 📋 models-example.json JSON 28L · 503 B

├─ ▾ 📁 tests-deprecated

│ ├─ 📜 test-download-debug.js JavaScript 102L · 2.7 KB

│ ├─ 📜 test-download-direct.js JavaScript 78L · 2.0 KB

│ ├─ 📜 test-download-local.js JavaScript 64L · 2.0 KB

│ ├─ 📜 test-download-one-gripper.js JavaScript 116L · 3.4 KB

│ └─ 📜 test-download-with-path.js JavaScript 135L · 4.0 KB

├─ 📝 api-reference.md Markdown 133L · 3.4 KB

├─ 📜 auto-gripper-behavior.js JavaScript 140L · 5.1 KB

├─ 📝 EXPORT-GUIDE.md Markdown 303L · 8.1 KB

├─ 📝 INDUSTRIAL-PATTERNS.md Markdown 365L · 7.6 KB

├─ 📜 kunwu-tool.js JavaScript 1180L · 31.2 KB

├─ 📝 MIGRATION-2026-03-20.md Markdown 94L · 2.7 KB

├─ 📋 package.json JSON 17L · 453 B

├─ 📝 QUICKSTART.md Markdown 113L · 2.5 KB

├─ 📝 README.md Markdown 104L · 2.1 KB

├─ 📝 SKILL_USAGE.md Markdown 697L · 20.8 KB

├─ 📝 SKILL.md Markdown 484L · 13.2 KB

├─ 📜 task-builder.js JavaScript 491L · 12.8 KB

├─ 📜 test-50-rounds.js JavaScript 254L · 8.7 KB

├─ 📜 test-add-behavior-child.js JavaScript 94L · 2.9 KB

├─ 📜 test-add-rotate-x.js JavaScript 103L · 3.0 KB

├─ 📜 test-all-grippers-final.js JavaScript 283L · 8.4 KB

├─ 📜 test-asm-demo.js JavaScript 165L · 5.8 KB

├─ 📜 test-asm-quick.js JavaScript 143L · 4.4 KB

├─ 📜 test-asm-v4.js JavaScript 154L · 4.6 KB

├─ 📜 test-assemble-correct.js JavaScript 220L · 8.0 KB

├─ 📜 test-assemble-existing.js JavaScript 179L · 6.2 KB

├─ 📜 test-assemble-final-correct.js JavaScript 201L · 7.0 KB

├─ 📜 test-assemble-final.js JavaScript 198L · 6.9 KB

├─ 📜 test-assemble-smart.js JavaScript 375L · 11.5 KB

├─ 📜 test-assemble-with-create.js JavaScript 231L · 7.4 KB

├─ 📜 test-assemble.js JavaScript 255L · 7.9 KB

├─ 📜 test-auto-wait-wrapper.js JavaScript 153L · 4.8 KB

├─ 📜 test-behavior-v2.js JavaScript 130L · 3.7 KB

├─ 📜 test-behavior.js JavaScript 135L · 4.2 KB

├─ 📜 test-bracket-workaround.js JavaScript 162L · 4.9 KB

├─ 📜 test-camera-bracket-assemble.js JavaScript 264L · 8.7 KB

├─ 📜 test-check-all-tasks.js JavaScript 79L · 1.9 KB

├─ 📜 test-check-existing.js JavaScript 63L · 1.7 KB

├─ 📜 test-check-grippers.js JavaScript 96L · 2.4 KB

├─ 📜 test-connection-kunwu.js JavaScript 64L · 1.6 KB

├─ 📜 test-create-gripper.js JavaScript 129L · 3.7 KB

├─ 📜 test-create-model.js JavaScript 66L · 1.7 KB

├─ 📜 test-debug-task.js JavaScript 43L · 1.1 KB

├─ 📜 test-final-assemble.js JavaScript 170L · 5.1 KB

├─ 📜 test-final-report.js JavaScript 99L · 3.0 KB

├─ 📜 test-find-child.js JavaScript 87L · 2.3 KB

├─ 📜 test-full.js JavaScript 66L · 1.9 KB

├─ 📜 test-gripper-download-debug.js JavaScript 95L · 2.4 KB

├─ 📜 test-gripper-result.js JavaScript 114L · 3.1 KB

├─ 📜 test-grippers-behavior.js JavaScript 278L · 8.2 KB

├─ 📜 test-local-library.js JavaScript 39L · 1.1 KB

├─ 📜 test-new-apis.js JavaScript 133L · 4.4 KB

├─ 📜 test-pick-sort-final.js JavaScript 187L · 6.4 KB

├─ 📜 test-pick-sort-scene.js JavaScript 194L · 6.3 KB

├─ 📜 test-pick-sort-simple.js JavaScript 235L · 7.2 KB

├─ 📜 test-pick-sort-v2.js JavaScript 258L · 8.0 KB

├─ 📜 test-pick-sort-v3.js JavaScript 246L · 7.5 KB

├─ 📜 test-proper-assemble.js JavaScript 224L · 6.9 KB

├─ 📜 test-query-task.js JavaScript 25L · 591 B

├─ 📜 test-remote-camera.js JavaScript 119L · 3.4 KB

├─ 📝 TEST-REPORT.md Markdown 146L · 4.6 KB

├─ 📜 test-robot-asm-final.js JavaScript 202L · 6.7 KB

├─ 📜 test-robot-asm-v2.js JavaScript 134L · 4.1 KB

├─ 📜 test-robot-asm-v3.js JavaScript 178L · 5.6 KB

├─ 📜 test-robot-assembly.js JavaScript 225L · 7.6 KB

├─ 📜 test-scene-dual-robot.js JavaScript 288L · 8.8 KB

├─ 📜 test-smart-rounds.js JavaScript 477L · 13.4 KB

├─ 📝 TODO-APIS.md Markdown 151L · 4.0 KB

└─ 📝 UPDATE-SUMMARY.md Markdown 199L · 5.5 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`http`	`Node.js built-in`	Node.js stdlib	No	仅使用 Node.js 标准库，无外部依赖

Security Positives

✓ 纯 HTTP API 客户端，无 shell 执行

✓ 无敏感文件访问或凭证窃取

✓ 无数据外传或 C2 通信

✓ 无代码混淆或 Base64 编码

✓ 依赖仅使用 Node.js 标准库 http 模块

✓ 代码结构清晰，API 封装完整

Scan Report

Findings 1 items

File Tree

Dependencies 1 items

Security Positives