中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 15/100
上次扫描:2 天前 重新扫描
15 /100
openclaw-cursor-agent
Manage persistent Cursor CLI coding tasks through tmux sessions from OpenClaw tools and commands
这是一个合法的 OpenClaw Cursor Agent 插件,用于通过 tmux 管理后台 Cursor CLI 任务。代码本身无恶意行为,预扫描标记的 IOC 均位于用户设置文档中,属于正常的安装指引。
技能名称openclaw-cursor-agent
分析耗时46.7s
引擎pi
可以安装
可以使用。建议用户在使用文档中的 curl|sh 命令前确认来源可信。本技能仅用于管理 Cursor 编码任务,无数据外传风险。

安全发现 2 项

严重性 安全发现 位置
低危
文档包含 curl|sh 危险模式
LOCAL_SETUP_GUIDE.md:200 和 archive/WSL最终落地方案.md:79 包含 curl https://xxx | sh 管道执行模式。这是安装 Tailscale 和 Cursor 的官方方式,属于用户设置文档中的正常指引。
curl -fsSL https://tailscale.com/install.sh | sh
→ 无需修改。这是用户安装文档,非代码隐蔽行为。用户使用前应确认来源可信。
 docs/LOCAL_SETUP_GUIDE.md:200
低危
硬编码示例 IP 地址
43.162.108.47 在 LOCAL_SETUP_GUIDE.md:339 中作为占位符,用于说明 webhook URL 配置格式。用户需要替换为实际 IP。
http://43.162.108.47:18789/webhook/feishu
→ 无需修改。这是配置说明文档,需要示例 IP。
 docs/LOCAL_SETUP_GUIDE.md:339
资源类型声明权限推断权限状态证据
命令执行 WRITE WRITE ✓ 一致 index.js:217-230 - 使用 spawn 执行 scripts/*.sh
文件系统 WRITE WRITE ✓ 一致 spawn-cursor.sh:157-170 - 创建任务文件、状态文件、日志文件到 toolkitRoot 子目录
网络访问 NONE NONE 代码中无网络请求操作
2 严重 1 高危 13 项发现
💀
严重 危险命令 危险 Shell 命令
curl -fsSL https://tailscale.com/install.sh | sh
docs/LOCAL_SETUP_GUIDE.md:200
💀
严重 危险命令 危险 Shell 命令
curl https://cursor.com/install -fsS | bash
docs/archive/WSL最终落地方案.md:79
📡
高危 IP 地址 硬编码 IP 地址
43.162.108.47
docs/LOCAL_SETUP_GUIDE.md:339
🔗
中危 外部 URL 外部 URL
https://deb.nodesource.com/setup_22.x
docs/LOCAL_SETUP_GUIDE.md:65
🔗
中危 外部 URL 外部 URL
https://tailscale.com/install.sh
docs/LOCAL_SETUP_GUIDE.md:200
🔗
中危 外部 URL 外部 URL
http://100.x.x.x:18789
docs/LOCAL_SETUP_GUIDE.md:239
🔗
中危 外部 URL 外部 URL
http://你的公网IP:18789
docs/LOCAL_SETUP_GUIDE.md:280
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/app/
docs/LOCAL_SETUP_GUIDE.md:326
🔗
中危 外部 URL 外部 URL
http://43.162.108.47:18789/webhook/feishu
docs/LOCAL_SETUP_GUIDE.md:339
🔗
中危 外部 URL 外部 URL
http://你的IP:18789/webhook/feishu
docs/LOCAL_SETUP_GUIDE.md:340
🔗
中危 外部 URL 外部 URL
http://100.x.x.x:18789/webhook/feishu
docs/LOCAL_SETUP_GUIDE.md:343
🔗
中危 外部 URL 外部 URL
http://你的IP:18789/status
docs/LOCAL_SETUP_GUIDE.md:361
🔗
中危 外部 URL 外部 URL
https://cursor.com/install
docs/archive/WSL最终落地方案.md:79

目录结构

26 文件 · 103.3 KB · 3821 行
Markdown 14f · 1649L Shell 6f · 1323L JavaScript 1f · 721L JSON 3f · 98L Ignore 1f · 28L Other 1f · 2L
├─ 📁 .cursor
│ └─ 📁 skills
│ └─ 📁 openclaw-cursor-agent-system
│ ├─ 📁 references
│ │ ├─ 📝 setup.md Markdown 69L · 2.6 KB
│ │ └─ 📝 task-prompt.md Markdown 5L · 334 B
│ └─ 📝 SKILL.md Markdown 41L · 1.5 KB
├─ 📁 cursor-agent-system
│ ├─ 📁 scripts
│ │ ├─ 🔧 attach-session.sh Shell 57L · 1.6 KB
│ │ ├─ 🔧 check-status.sh Shell 322L · 9.7 KB
│ │ ├─ 🔧 common.sh Shell 285L · 6.1 KB
│ │ ├─ 🔧 kill-session.sh Shell 171L · 4.0 KB
│ │ ├─ 🔧 send-command.sh Shell 145L · 3.5 KB
│ │ └─ 🔧 spawn-cursor.sh Shell 343L · 9.5 KB
│ ├─ 📁 templates
│ │ └─ 📝 cursor-task-prompt.md Markdown 69L · 1.5 KB
│ └─ 📝 README.md Markdown 127L · 3.4 KB
├─ 📁 docs
│ ├─ 📁 archive
│ │ ├─ 📝 WSL最终落地方案.md Markdown 234L · 5.5 KB
│ │ └─ 📝 最终测试报告.md Markdown 199L · 5.6 KB
│ ├─ 📝 LOCAL_SETUP_GUIDE.md Markdown 576L · 9.7 KB
│ └─ 📝 usage-guide.md Markdown 64L · 1.8 KB
├─ 📁 extensions
│ └─ 📁 openclaw-cursor-agent
│ ├─ 📁 examples
│ │ └─ 📋 openclaw.json.windows.example.json JSON 26L · 666 B
│ ├─ 📁 skill
│ │ ├─ 📁 references
│ │ │ └─ 📝 commands.md Markdown 19L · 666 B
│ │ └─ 📝 SKILL.md Markdown 35L · 1.5 KB
│ ├─ 📜 index.js JavaScript 721L · 24.7 KB
│ ├─ 📋 openclaw.plugin.json JSON 57L · 1.5 KB
│ ├─ 📋 package.json JSON 15L · 303 B
│ └─ 📝 README.md Markdown 62L · 1.6 KB
├─ 📄 .gitattributes 2L · 34 B
├─ 📄 .gitignore Ignore 28L · 511 B
├─ 📝 README.md Markdown 92L · 3.3 KB
└─ 📝 SKILL.md Markdown 57L · 2.3 KB

依赖分析 3 项

包名版本来源已知漏洞备注
node >=18.0.0 runtime JavaScript 插件需要 Node.js 运行环境
tmux >=3.3 system 核心依赖,用于会话管理
python3 * system 用于脚本中的 JSON 处理

安全亮点

✓ 代码结构清晰,所有 shell 执行都通过 spawn-cursor.sh 启动 Cursor agent
✓ 无凭证收割、环境变量遍历、敏感路径访问等高危行为
✓ 无 base64 编码、eval()、shell 注入等可疑模式
✓ 无外部 IP 请求、POST 数据外传等网络恶意行为
✓ 使用 JSON 状态文件管理任务,逻辑透明可审计
✓ 支持 --json 输出,便于集成和验证
✓ 有完整的诊断工具 cursor_agent_doctor