中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 8/100
Last scan:2 days ago Rescan
8 /100
taco
Taco加密货币DEX交易助手
Taco加密货币交易助手是合法的DEX交易工具,代码功能与声明一致,无恶意行为证据
Skill Nametaco
Duration42.4s
Enginepi
Safe to install
可安全使用。建议关注 node 依赖版本(需v18+)和配置文件权限控制

Findings 2 items

Severity Finding Location
Low
代码压缩影响可审计性
taco_client.js为压缩后的单行代码(53400字节),虽然功能正常但降低人工代码审查效率
全部代码压缩为单行
→ 考虑提供源码版本或source map以提高透明度
 scripts/taco_client.js:1
Low
配置写入权限未明确声明
SKILL.md声明为NONE但脚本需要创建~/.openclaw/workspace/taco/config.json
Config: ~/.openclaw/workspace/taco/config.json
→ 在SKILL.md中明确声明filesystem:WRITE权限用于配置存储
 SKILL.md:110
ResourceDeclaredInferredStatusEvidence
Filesystem NONE WRITE ✓ Aligned scripts/taco_client.js:写入config.json
Network READ+WRITE READ+WRITE ✓ Aligned API调用与SKILL.md声明一致
Shell NONE NONE 无shell执行代码
3 findings
🔗
Medium External URL 外部 URL
https://api.dev.taco.trading
references/api-references.md:4
🔗
Medium External URL 外部 URL
https://api.hyperliquid.xyz/info
references/market-data-fallback.md:5
📧
Info Email 邮箱地址
[email protected]
references/api-references.md:495

File Tree

7 files · 125.1 KB · 2321 lines
Markdown 6f · 2294L JavaScript 1f · 27L
├─ 📁 references
│ ├─ 📝 analysis-workflows.md Markdown 252L · 9.8 KB
│ ├─ 📝 api-references.md Markdown 734L · 18.1 KB
│ ├─ 📝 commands.md Markdown 426L · 11.5 KB
│ ├─ 📝 market-data-fallback.md Markdown 73L · 2.2 KB
│ └─ 📝 strategy-engine.md Markdown 453L · 15.0 KB
├─ 📁 scripts
│ └─ 📜 taco_client.js JavaScript 27L · 52.1 KB
└─ 📝 SKILL.md Markdown 356L · 16.3 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
commander bundled inline No CLI框架内联打包

Security Positives

✓ API端点明确指向taco.trading和hyperliquid.xyz,无隐蔽网络请求
✓ 所有凭证仅用于本地API认证,无外传行为
✓ 使用标准Node.js库(fs, path, os, readline)无可疑第三方依赖
✓ 代码功能与SKILL.md声明完全一致,无阴影功能
✓ 交易命令需用户确认后才执行,符合安全设计
✓ 预交易验证逻辑完善(余额检查、最小交易额限制)