中文 EN

扫描报告

扫描新文件

可信 — 风险评分 0/100
上次扫描:2 天前 重新扫描
0 /100
shiyi
拾遗 · 通用考试备考追踪 Skill
拾遗考试备考追踪 Skill,功能纯粹,无越权操作,base64 解码用于本地图片处理,属于正常功能。
技能名称shiyi
分析耗时35.0s
引擎pi
可以安装
可安全安装使用
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 SKILL.md:55-67, scripts/update_daily.js:62-70
网络访问 NONE NONE 全代码无网络请求
命令执行 NONE EXEC ✓ 一致 scripts/export_xlsx.js:33 execFile('python') 为工具调用,属于 Excel 导出必需
环境变量 NONE NONE 全代码无 os.environ 访问
剪贴板 NONE NONE 无剪贴板操作
数据库 NONE NONE 仅使用本地 JSON 文件存储
1 严重 6 项发现
🔒
严重 编码执行 Base64 编码执行(代码混淆)
Buffer.from(q.raw_image_b64, 'base64'
scripts/export_xlsx.js:140
🔗
中危 外部 URL 外部 URL
https://openclaw.ai
README.md:16
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/OpenClaw-Skill-orange?style=for-the-badge
README.md:17
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/License-MIT-blue?style=for-the-badge
README.md:20
🔗
中危 外部 URL 外部 URL
https://nodejs.org
README.md:22
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/node-%3E%3D18-green?style=for-the-badge
README.md:23

目录结构

13 文件 · 54.6 KB · 1530 行
JavaScript 8f · 1172L Markdown 2f · 319L JSON 2f · 32L Ignore 1f · 7L
├─ 📁 assets
│ └─ 📜 exam_prompts.js JavaScript 182L · 9.6 KB
├─ 📁 scripts
│ ├─ 📜 daily_summary.js JavaScript 66L · 2.1 KB
│ ├─ 📜 export_xlsx.js JavaScript 182L · 6.6 KB
│ ├─ 📜 onboarding.js JavaScript 89L · 2.9 KB
│ ├─ 📜 parse_input.js JavaScript 270L · 9.6 KB
│ ├─ 📜 review_reminder.js JavaScript 139L · 4.9 KB
│ ├─ 📜 tag_library.js JavaScript 133L · 4.2 KB
│ └─ 📜 update_daily.js JavaScript 111L · 4.0 KB
├─ 📋 _meta.json JSON 5L · 138 B
├─ 📄 .gitignore Ignore 7L · 60 B
├─ 📋 package.json JSON 27L · 696 B
├─ 📝 README.md Markdown 165L · 4.6 KB
└─ 📝 SKILL.md Markdown 154L · 5.2 KB

依赖分析 2 项

包名版本来源已知漏洞备注
xlsx ^0.18.5 npm Excel 处理库,常规依赖
sharp ^0.33.0 npm 可选图片处理库

安全亮点

✓ 所有文件操作限定在 ~/.openclaw/skills/shiyi/data/ 目录内,无越权访问
✓ Buffer.from(..., 'base64') 用于解码用户上传的图片写入临时文件,Excel 嵌入图片必需,属正常功能
✓ execFile('python') 仅调用 python 执行生成的 Excel 导出脚本,无远程执行
✓ 无外部网络请求,无凭证访问,无敏感路径遍历
✓ 代码结构清晰,模块职责分明,无隐藏功能