taco 安全扫描报告 — 可信 | ClawSafe

8 /100

taco

Taco加密货币DEX交易助手

Taco加密货币交易助手是合法的DEX交易工具，代码功能与声明一致，无恶意行为证据

技能名称taco

分析耗时42.4s

引擎pi

✓

可以安装

可安全使用。建议关注 node 依赖版本（需v18+）和配置文件权限控制

安全发现 2 项

严重性	安全发现	位置
低危	代码压缩影响可审计性 taco_client.js为压缩后的单行代码(53400字节)，虽然功能正常但降低人工代码审查效率 `全部代码压缩为单行` → 考虑提供源码版本或source map以提高透明度	`scripts/taco_client.js:1`
低危	配置写入权限未明确声明 SKILL.md声明为NONE但脚本需要创建~/.openclaw/workspace/taco/config.json `Config: ~/.openclaw/workspace/taco/config.json` → 在SKILL.md中明确声明filesystem:WRITE权限用于配置存储	`SKILL.md:110`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`WRITE`	✓ 一致	scripts/taco_client.js:写入config.json
网络访问	`READ+WRITE`	`READ+WRITE`	✓ 一致	API调用与SKILL.md声明一致
命令执行	`NONE`	`NONE`	—	无shell执行代码

3 项发现

🔗

中危外部 URL 外部 URL

https://api.dev.taco.trading

references/api-references.md:4

🔗

中危外部 URL 外部 URL

https://api.hyperliquid.xyz/info

references/market-data-fallback.md:5

📧

提示邮箱邮箱地址

[email protected]

references/api-references.md:495

7 文件 · 125.1 KB · 2321 行

Markdown 6f · 2294L JavaScript 1f · 27L

├─ ▾ 📁 references

│ ├─ 📝 analysis-workflows.md Markdown 252L · 9.8 KB

│ ├─ 📝 api-references.md Markdown 734L · 18.1 KB

│ ├─ 📝 commands.md Markdown 426L · 11.5 KB

│ ├─ 📝 market-data-fallback.md Markdown 73L · 2.2 KB

│ └─ 📝 strategy-engine.md Markdown 453L · 15.0 KB

├─ ▾ 📁 scripts

│ └─ 📜 taco_client.js JavaScript 27L · 52.1 KB

└─ 📝 SKILL.md Markdown 356L · 16.3 KB

包名	版本	来源	已知漏洞	备注
`commander`	`bundled`	inline	否	CLI框架内联打包

✓ API端点明确指向taco.trading和hyperliquid.xyz，无隐蔽网络请求

✓ 所有凭证仅用于本地API认证，无外传行为

✓ 使用标准Node.js库（fs, path, os, readline）无可疑第三方依赖

✓ 代码功能与SKILL.md声明完全一致，无阴影功能

✓ 交易命令需用户确认后才执行，符合安全设计

✓ 预交易验证逻辑完善（余额检查、最小交易额限制）