中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 0/100
Last scan:2 days ago Rescan
0 /100
shiyi
拾遗 · 通用考试备考追踪 Skill
拾遗考试备考追踪 Skill,功能纯粹,无越权操作,base64 解码用于本地图片处理,属于正常功能。
Skill Nameshiyi
Duration35.0s
Enginepi
Safe to install
可安全安装使用
ResourceDeclaredInferredStatusEvidence
Filesystem WRITE WRITE ✓ Aligned SKILL.md:55-67, scripts/update_daily.js:62-70
Network NONE NONE 全代码无网络请求
Shell NONE EXEC ✓ Aligned scripts/export_xlsx.js:33 execFile('python') 为工具调用,属于 Excel 导出必需
Environment NONE NONE 全代码无 os.environ 访问
Clipboard NONE NONE 无剪贴板操作
Database NONE NONE 仅使用本地 JSON 文件存储
1 Critical 6 findings
🔒
Critical Encoded Execution Base64 编码执行(代码混淆)
Buffer.from(q.raw_image_b64, 'base64'
scripts/export_xlsx.js:140
🔗
Medium External URL 外部 URL
https://openclaw.ai
README.md:16
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/OpenClaw-Skill-orange?style=for-the-badge
README.md:17
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/License-MIT-blue?style=for-the-badge
README.md:20
🔗
Medium External URL 外部 URL
https://nodejs.org
README.md:22
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/node-%3E%3D18-green?style=for-the-badge
README.md:23

File Tree

13 files · 54.6 KB · 1530 lines
JavaScript 8f · 1172L Markdown 2f · 319L JSON 2f · 32L Ignore 1f · 7L
├─ 📁 assets
│ └─ 📜 exam_prompts.js JavaScript 182L · 9.6 KB
├─ 📁 scripts
│ ├─ 📜 daily_summary.js JavaScript 66L · 2.1 KB
│ ├─ 📜 export_xlsx.js JavaScript 182L · 6.6 KB
│ ├─ 📜 onboarding.js JavaScript 89L · 2.9 KB
│ ├─ 📜 parse_input.js JavaScript 270L · 9.6 KB
│ ├─ 📜 review_reminder.js JavaScript 139L · 4.9 KB
│ ├─ 📜 tag_library.js JavaScript 133L · 4.2 KB
│ └─ 📜 update_daily.js JavaScript 111L · 4.0 KB
├─ 📋 _meta.json JSON 5L · 138 B
├─ 📄 .gitignore Ignore 7L · 60 B
├─ 📋 package.json JSON 27L · 696 B
├─ 📝 README.md Markdown 165L · 4.6 KB
└─ 📝 SKILL.md Markdown 154L · 5.2 KB

Dependencies 2 items

PackageVersionSourceKnown VulnsNotes
xlsx ^0.18.5 npm No Excel 处理库,常规依赖
sharp ^0.33.0 npm No 可选图片处理库

Security Positives

✓ 所有文件操作限定在 ~/.openclaw/skills/shiyi/data/ 目录内,无越权访问
✓ Buffer.from(..., 'base64') 用于解码用户上传的图片写入临时文件,Excel 嵌入图片必需,属正常功能
✓ execFile('python') 仅调用 python 执行生成的 Excel 导出脚本,无远程执行
✓ 无外部网络请求,无凭证访问,无敏感路径遍历
✓ 代码结构清晰,模块职责分明,无隐藏功能