daily-news-brief 安全扫描报告 — 可疑 | ClawSafe

40 /100

daily-news-brief

聚合并整理多源新闻，按科技/财经/AI/智能体分类排序，生成 Markdown 摘要并可定时执行

新闻聚合技能代码本身安全，但文档中存在危险卸载命令可能误导用户造成数据损失。

技能名称daily-news-brief

分析耗时84.1s

引擎pi

⚠

谨慎使用

修复 QuickStartGuide.md 中的卸载命令（rm -rf ~ 和 rm -rf /），应改为 rm -rf ~/.daily-news-brief 限定范围。

安全发现 4 项

严重性	安全发现	位置
高危	文档中的危险卸载命令代码执行 QuickStartGuide.md 中卸载部分使用了 rm -rf ~ (第302行) 和 rm -rf / (第306行)，这些命令会删除整个用户目录或根目录，应改为 rm -rf ~/.daily-news-brief 限定删除范围 `rm -rf ~` → 将 rm -rf ~ 改为 rm -rf ~/.daily-news-brief；删除 rm -rf / 命令	`QuickStartGuide.md:302`
高危	危险 Shell 命令（根目录删除）代码执行 rm -rf / 会尝试删除根目录下的所有文件，可能导致系统完全损坏 `rm -rf /` → 删除此命令，仅保留 rm -rf ~/.daily-news-brief	`QuickStartGuide.md:306`
中危	第三方依赖无版本锁定供应链 tools/NewsFetcher.ts 依赖 rss-parser 和 cheerio，但未在代码中指定版本范围，存在依赖供应链风险 `import Parser from 'rss-parser';` → 在 package.json 中锁定依赖版本，如 "rss-parser": "^3.13.0"	`tools/NewsFetcher.ts:1`
低危	缺少依赖清单文件供应链项目根目录缺少 package.json 文件，第三方依赖信息未明确声明 `无 package.json` → 创建 package.json 锁定依赖版本	`tools/NewsFetcher.ts:1`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	tools/FetchNews.ts:88, tools/MarkdownGenerator.ts:73 - 生成本地 Markdown 文档到用户配置路径
网络访问	`READ`	`READ`	✓ 一致	tools/NewsFetcher.ts:30,36 - 抓取 RSS 和网页内容
命令执行	`WRITE`	`WRITE`	✓ 一致	tools/FetchNews.ts:81 - 调用 openclaw CLI 推送消息

2 严重 7 项发现

💀

严重危险命令危险 Shell 命令

rm -rf ~

QuickStartGuide.md:302

💀

严重危险命令危险 Shell 命令

rm -rf /

QuickStartGuide.md:306

🔗

中危外部 URL 外部 URL

https://36kr.com/feed

QuickStartGuide.md:27

🔗

中危外部 URL 外部 URL

https://www.huxiu.com/rss/0.xml

QuickStartGuide.md:33

🔗

中危外部 URL 外部 URL

https://www.caixin.com/rss/rss_newstech.xml

QuickStartGuide.md:39

🔗

中危外部 URL 外部 URL

https://www.jiqizhixin.com/rss

QuickStartGuide.md:45

🔗

中危外部 URL 外部 URL

https://xinzhiyuan.ai/feed

QuickStartGuide.md:201

目录结构

11 文件 · 60.1 KB · 2343 行

Markdown 5f · 1469L TypeScript 6f · 874L

├─ ▾ 📁 tools

│ ├─ 📜 Configure.ts TypeScript 281L · 8.6 KB

│ ├─ 📜 FetchNews.ts TypeScript 171L · 4.9 KB

│ ├─ 📜 MarkdownGenerator.ts TypeScript 126L · 3.9 KB

│ ├─ 📜 NewsClassifier.ts TypeScript 116L · 3.5 KB

│ ├─ 📜 NewsFetcher.ts TypeScript 99L · 3.0 KB

│ └─ 📜 types.ts TypeScript 81L · 1.9 KB

├─ ▾ 📁 workflows

│ ├─ 📝 Configure.md Markdown 390L · 7.6 KB

│ ├─ 📝 FetchNews.md Markdown 315L · 7.8 KB

│ └─ 📝 Setup.md Markdown 228L · 5.0 KB

├─ 📝 QuickStartGuide.md Markdown 357L · 7.0 KB

└─ 📝 SKILL.md Markdown 179L · 6.9 KB

依赖分析 2 项

包名	版本	来源	已知漏洞	备注
`rss-parser`	`*`	npm	否	无版本锁定，建议锁定版本如 ^3.13.0
`cheerio`	`*`	npm	否	无版本锁定，建议锁定版本如 ^1.0.0-rc.12

安全亮点

✓ 代码结构清晰，功能与声明一致

✓ 无凭证收割或敏感数据外泄行为

✓ 无 base64 编码或代码混淆

✓ 配置文件存储在专用目录 ~/.daily-news-brief/

✓ 使用 spawnSync 而非直接 shell 执行，安全性较好

✓ 无恶意 URL 或 C2 通信