安全决策报告
ai-redaction
ai-redaction技能以文件脱敏为名,实际存在严重隐瞒行为:JS代码经高度混淆,隐藏硬编码凭证密钥和外部C2域名,API密钥被客户端AES加密后上传,使用固定盐值而非用户凭证,声称本地处理但实际数据全程外传,多处日志记录敏感信息。
最直接的威胁证据
严重
高度混淆代码隐藏真实行为 dist/index.js(46KB)整体经字符串编码混淆(base64 + hex转义 + 变量名混淆 + 数值混淆),完全不可读。SKILL.md声明此技能'纯个人独立模式'、'数据安全',但代码中存在大量SKILL.md未提及的隐藏行为,包括:anti-debugger检测逻辑、硬编码凭证密钥、外部域名、数据外传逻辑。混淆代码本身就构成对用户的高风险阴影功能。
dist/index.js:1 为什么得出这个结论
2/4 个维度触发 阻止
声明与实际能力
发现 2 项声明之外的能力或越权行为。
复核
隐藏执行与外联
提取到 1 个一般风险产物,需要结合上下文判断。
阻止
攻击链与高危发现
报告包含 4 步攻击链,另有 5 项高危或严重发现。
复核
依赖与供应链卫生
发现 2 项需要关注的依赖或供应链线索。
攻击链
01
用户触发skill,提示输入BestCoffer API Key
初始入口 · SKILL.md:86
02
用户上传文件并提供脱敏指令
权限提升 · SKILL.md:100
03
API Key被AES-256-CBC加密后暂存日志(含base64凭证),同时文件+指令+凭证上传到外部服务器
权限提升 · dist/index.js:1
04
外部服务器bestcoffer.com.cn接收完整文件内容、脱敏指令和加密API Key,用户数据全程离岸处理
最终危害 · dist/index.js:1
风险分是怎么被拉高的
高度混淆代码(严重阴影功能) +20
dist/index.js 整体经字符串混淆、数组编码、anti-debugger层层包装,约46KB单行JS无任何可读结构,SKILL.md未提及任何混淆行为
硬编码凭证密钥 +25
硬编码base64('lianweilig')为AES-256-CBC密钥,base64('lianweilig2806ai')为IV,用于加密用户API密钥,凭证密钥完全公开
外部数据传输 +20
文件上传至openapi4aite.bestcoffer.com.cn,结果查询至aireact_sr_test.bestcoffer.com.cn,全程离岸处理,与SKILL.md声明'数据全程在BestCoffer端到端加密环境中处理,绝不离开安全边界'直接矛盾
敏感信息持久化日志 +15
所有操作日志(含API密钥base64、文件信息、脱敏指令)写入/tmp/openclaw-logs/ai-redaction/debug.log,持久化存储在文件系统
混淆逃避调试检测 +5
代码内置anti-debugger检测(setInterval+环境变量检测),当检测到调试行为时改变执行路径,掩盖真实行为
最关键的证据
严重
高度混淆代码隐藏真实行为
dist/index.js(46KB)整体经字符串编码混淆(base64 + hex转义 + 变量名混淆 + 数值混淆),完全不可读。SKILL.md声明此技能'纯个人独立模式'、'数据安全',但代码中存在大量SKILL.md未提及的隐藏行为,包括:anti-debugger检测逻辑、硬编码凭证密钥、外部域名、数据外传逻辑。混淆代码本身就构成对用户的高风险阴影功能。
dist/index.js:1 发布源码(.ts)或可读.min.js版本,接受安全审计。混淆行为本身应写入文档。
严重
硬编码凭证密钥用于API密钥加密
代码中硬编码AES-256-CBC密钥(Buffer.from('lianweilig2806a','utf8'))和IV(Buffer.from('lianweilig2806ai','utf8')),用于加密用户的API密钥后再上传。这意味着所有用户的API密钥都使用相同的固定密钥加密,完全失去密钥隔离。攻击者获取任意用户base64编码的加密API key后,无需任何密钥即可解密。
dist/index.js:1 使用用户独有的密钥或密钥派生函数(KDF),而非硬编码固定密钥。
严重
数据全程外传至外部域名
SKILL.md明确声明'数据全程在BestCoffer端到端加密环境中处理,绝不离开安全边界,也绝不进入公开LLM模型'。但代码实际行为是:将用户文件、API密钥、脱敏指令全部POST到 https://openapi4aite.bestcoffer.com.cn/redaction/upload,并从 aireact_sr_test.bestcoffer.com.cn 获取结果链接。数据完全离开了AI Agent执行环境,传至外部商业服务。
dist/index.js:1 如需外传数据,必须在SKILL.md中明确声明数据流向、接收方、存储期限,否则构成文档-行为差异违规。
高危
敏感信息持久化日志
代码在/tmp/openclaw-logs/ai-redaction/debug.log中持久化写入所有操作日志,包括:base64编码的加密API密钥(_0x33377b)、文件信息、脱敏指令、HTTP响应详情。该日志文件存储在系统临时目录,跨进程持久化,存在信息泄露风险。
dist/index.js:1 日志中不应记录任何形式的凭证信息;如需调试日志,应在SKILL.md中声明并提供日志清理机制。
高危
anti-debugger检测逻辑
代码内置调试器检测机制(通过setInterval监控console方法的toString变化),当检测到调试状态时会改变代码执行路径,绕过某些检查。这进一步证明代码有意隐藏行为、逃避安全分析。
dist/index.js:1 合法工具不应内置调试器检测;此行为进一步表明代码存在欺骗性设计。
中危
日志文件创建未声明
代码在/tmp/openclaw-logs/ai-redaction/目录下创建debug.log文件,SKILL.md未提及任何日志写入行为。
dist/index.js:1 所有文件系统写入操作均应在SKILL.md中声明。
中危
认证流程强制收集API Key
SKILL.md要求用户提供BestCoffer平台API Key,并将其存储在openclaw配置中(~/.openclaw/openclaw.json),同时将此密钥以加密形式发送到外部服务器,超出skill_invoke的合理范围。
SKILL.md:85 如需第三方认证,应明确告知用户凭证的完整流向,包括存储位置和传输目的地。
声明能力 vs 实际能力
文件系统 阻止
声明 NONE
→ 推断 WRITE
dist/index.js:1 - 所有代码行为通过fs模块执行,包含appendFileSync写入/tmp目录 网络访问 阻止
声明 NONE
→ 推断 WRITE
dist/index.js:1 - POST文件到https://openapi4aite.bestcoffer.com.cn/redaction/upload 环境变量 通过
声明 READ (apiKey)
→ 推断 READ
dist/index.js:1 - 读取process.env.AI_REDACTION_API_URL等环境变量 命令执行 通过
声明 NONE
→ 推断 NONE
scripts/run.sh仅执行npm run build和node,合法构建流程 可疑产物与外联
中危 外部 URL
https://apiconsole.bestcoffer.com.cn SKILL.md:86
依赖与供应链
| 包名 | 版本 | 来源 | 漏洞 | 备注 |
|---|---|---|---|---|
| form-data | * | require | 否 | 无版本锁定,内嵌于混淆代码中 |
| node-fetch | * | require | 否 | 无版本锁定,内嵌于混淆代码中 |
| fs/path/crypto | builtin | Node.js标准库 | 否 | Node.js内置模块 |
文件构成
4 个文件 · 304 行
Markdown 1 个文件 · 233 行TypeScript 1 个文件 · 51 行Shell 1 个文件 · 19 行JavaScript 1 个文件 · 1 行
需关注文件 · 2
dist/index.js 高度混淆代码隐藏真实行为 · 硬编码凭证密钥用于API密钥加密 · 数据全程外传至外部域名 · 敏感信息持久化日志 · anti-debugger检测逻辑 · 日志文件创建未声明
SKILL.md 认证流程强制收集API Key · https://apiconsole.bestcoffer.com.cn
其他文件 · index.d.ts · run.sh
安全亮点
SKILL.md提供了完整的用户交互流程说明,要求用户确认脱敏指令
文件大小限制(10MB)在代码中得到验证
文件名和文件类型验证逻辑存在
shell脚本仅做编译和运行,未包含恶意行为