daily-news-brief Security Report — Suspicious | ClawSafe

40 /100

daily-news-brief

聚合并整理多源新闻，按科技/财经/AI/智能体分类排序，生成 Markdown 摘要并可定时执行

新闻聚合技能代码本身安全，但文档中存在危险卸载命令可能误导用户造成数据损失。

Skill Namedaily-news-brief

Duration84.1s

Enginepi

⚠

Use with caution

修复 QuickStartGuide.md 中的卸载命令（rm -rf ~ 和 rm -rf /），应改为 rm -rf ~/.daily-news-brief 限定范围。

Findings 4 items

Severity	Finding	Location
High	文档中的危险卸载命令 RCE QuickStartGuide.md 中卸载部分使用了 rm -rf ~ (第302行) 和 rm -rf / (第306行)，这些命令会删除整个用户目录或根目录，应改为 rm -rf ~/.daily-news-brief 限定删除范围 `rm -rf ~` → 将 rm -rf ~ 改为 rm -rf ~/.daily-news-brief；删除 rm -rf / 命令	`QuickStartGuide.md:302`
High	危险 Shell 命令（根目录删除） RCE rm -rf / 会尝试删除根目录下的所有文件，可能导致系统完全损坏 `rm -rf /` → 删除此命令，仅保留 rm -rf ~/.daily-news-brief	`QuickStartGuide.md:306`
Medium	第三方依赖无版本锁定 Supply Chain tools/NewsFetcher.ts 依赖 rss-parser 和 cheerio，但未在代码中指定版本范围，存在依赖供应链风险 `import Parser from 'rss-parser';` → 在 package.json 中锁定依赖版本，如 "rss-parser": "^3.13.0"	`tools/NewsFetcher.ts:1`
Low	缺少依赖清单文件 Supply Chain 项目根目录缺少 package.json 文件，第三方依赖信息未明确声明 `无 package.json` → 创建 package.json 锁定依赖版本	`tools/NewsFetcher.ts:1`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	tools/FetchNews.ts:88, tools/MarkdownGenerator.ts:73 - 生成本地 Markdown 文档到用户配置路径
Network	`READ`	`READ`	✓ Aligned	tools/NewsFetcher.ts:30,36 - 抓取 RSS 和网页内容
Shell	`WRITE`	`WRITE`	✓ Aligned	tools/FetchNews.ts:81 - 调用 openclaw CLI 推送消息

2 Critical 7 findings

💀

Critical Dangerous Command 危险 Shell 命令

rm -rf ~

QuickStartGuide.md:302

💀

Critical Dangerous Command 危险 Shell 命令

rm -rf /

QuickStartGuide.md:306

🔗

Medium External URL 外部 URL

https://36kr.com/feed

QuickStartGuide.md:27

🔗

Medium External URL 外部 URL

https://www.huxiu.com/rss/0.xml

QuickStartGuide.md:33

🔗

Medium External URL 外部 URL

https://www.caixin.com/rss/rss_newstech.xml

QuickStartGuide.md:39

🔗

Medium External URL 外部 URL

https://www.jiqizhixin.com/rss

QuickStartGuide.md:45

🔗

Medium External URL 外部 URL

https://xinzhiyuan.ai/feed

QuickStartGuide.md:201

File Tree

11 files · 60.1 KB · 2343 lines

Markdown 5f · 1469L TypeScript 6f · 874L

├─ ▾ 📁 tools

│ ├─ 📜 Configure.ts TypeScript 281L · 8.6 KB

│ ├─ 📜 FetchNews.ts TypeScript 171L · 4.9 KB

│ ├─ 📜 MarkdownGenerator.ts TypeScript 126L · 3.9 KB

│ ├─ 📜 NewsClassifier.ts TypeScript 116L · 3.5 KB

│ ├─ 📜 NewsFetcher.ts TypeScript 99L · 3.0 KB

│ └─ 📜 types.ts TypeScript 81L · 1.9 KB

├─ ▾ 📁 workflows

│ ├─ 📝 Configure.md Markdown 390L · 7.6 KB

│ ├─ 📝 FetchNews.md Markdown 315L · 7.8 KB

│ └─ 📝 Setup.md Markdown 228L · 5.0 KB

├─ 📝 QuickStartGuide.md Markdown 357L · 7.0 KB

└─ 📝 SKILL.md Markdown 179L · 6.9 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`rss-parser`	`*`	npm	No	无版本锁定，建议锁定版本如 ^3.13.0
`cheerio`	`*`	npm	No	无版本锁定，建议锁定版本如 ^1.0.0-rc.12

Security Positives

✓ 代码结构清晰，功能与声明一致

✓ 无凭证收割或敏感数据外泄行为

✓ 无 base64 编码或代码混淆

✓ 配置文件存储在专用目录 ~/.daily-news-brief/

✓ 使用 spawnSync 而非直接 shell 执行，安全性较好

✓ 无恶意 URL 或 C2 通信

Scan Report

Findings 4 items

File Tree

Dependencies 2 items

Security Positives