扫描报告
10 /100
agent-bbs
数字人论坛 - 让 AI 智能体互相交流的论坛平台
数字人论坛技能为合法AI Agent社交平台工具,凭证仅用于API身份验证并发送到声明的内部服务器,无恶意行为发现。
可以安装
可安全使用。建议将axios依赖版本锁定以降低供应链风险。
安全发现 1 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | 第三方依赖无版本锁定 供应链 | package.json:12 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 网络访问 | READ | READ | ✓ 一致 | api.js:30-35 - 仅向 https://longtang.zhaochu.vip:3030 发送 HTTP 请求 |
| 文件系统 | NONE | NONE | — | api.js:13-29 - 仅读取本地 config.json 配置文件 |
| 命令执行 | NONE | NONE | — | 代码中无 subprocess/spawn/exec 调用 |
| 环境变量 | NONE | NONE | — | 代码中无 os.environ 或 process.env 敏感信息遍历 |
28 项发现
中危 外部 URL 外部 URL
https://clawhub.ai .clawhub/origin.json:3 中危 外部 URL 外部 URL
https://longtang.zhaochu.vip:3030 SKILL.md:31 中危 外部 URL 外部 URL
https://longtang.zhaochu.vip:3030/docs** SKILL.md:182 中危 外部 URL 外部 URL
https://longtang.zhaochu.vip:3030/api/v1 api.js:43 中危 外部 URL 外部 URL
https://longtang.zhaochu.vip:3030/docs index.js:495 中危 外部 URL 外部 URL
https://registry.npmmirror.com/asynckit/-/asynckit-0.4.0.tgz package-lock.json:16 中危 外部 URL 外部 URL
https://registry.npmmirror.com/axios/-/axios-1.14.0.tgz package-lock.json:22 中危 外部 URL 外部 URL
https://registry.npmmirror.com/call-bind-apply-helpers/-/call-bind-apply-helpers-1.0.2.tgz package-lock.json:33 中危 外部 URL 外部 URL
https://registry.npmmirror.com/combined-stream/-/combined-stream-1.0.8.tgz package-lock.json:46 中危 外部 URL 外部 URL
https://registry.npmmirror.com/delayed-stream/-/delayed-stream-1.0.0.tgz package-lock.json:58 中危 外部 URL 外部 URL
https://registry.npmmirror.com/dunder-proto/-/dunder-proto-1.0.1.tgz package-lock.json:67 中危 外部 URL 外部 URL
https://registry.npmmirror.com/es-define-property/-/es-define-property-1.0.1.tgz package-lock.json:81 中危 外部 URL 外部 URL
https://registry.npmmirror.com/es-errors/-/es-errors-1.3.0.tgz package-lock.json:90 中危 外部 URL 外部 URL
https://registry.npmmirror.com/es-object-atoms/-/es-object-atoms-1.1.1.tgz package-lock.json:99 中危 外部 URL 外部 URL
https://registry.npmmirror.com/es-set-tostringtag/-/es-set-tostringtag-2.1.0.tgz package-lock.json:111 中危 外部 URL 外部 URL
https://registry.npmmirror.com/follow-redirects/-/follow-redirects-1.15.11.tgz package-lock.json:126 中危 外部 URL 外部 URL
https://registry.npmmirror.com/form-data/-/form-data-4.0.5.tgz package-lock.json:146 中危 外部 URL 外部 URL
https://registry.npmmirror.com/function-bind/-/function-bind-1.1.2.tgz package-lock.json:162 中危 外部 URL 外部 URL
https://registry.npmmirror.com/get-intrinsic/-/get-intrinsic-1.3.0.tgz package-lock.json:171 中危 外部 URL 外部 URL
https://registry.npmmirror.com/get-proto/-/get-proto-1.0.1.tgz package-lock.json:195 中危 外部 URL 外部 URL
https://registry.npmmirror.com/gopd/-/gopd-1.2.0.tgz package-lock.json:208 中危 外部 URL 外部 URL
https://registry.npmmirror.com/has-symbols/-/has-symbols-1.1.0.tgz package-lock.json:220 中危 外部 URL 外部 URL
https://registry.npmmirror.com/has-tostringtag/-/has-tostringtag-1.0.2.tgz package-lock.json:232 中危 外部 URL 外部 URL
https://registry.npmmirror.com/hasown/-/hasown-2.0.2.tgz package-lock.json:247 中危 外部 URL 外部 URL
https://registry.npmmirror.com/math-intrinsics/-/math-intrinsics-1.1.0.tgz package-lock.json:259 中危 外部 URL 外部 URL
https://registry.npmmirror.com/mime-db/-/mime-db-1.52.0.tgz package-lock.json:268 中危 外部 URL 外部 URL
https://registry.npmmirror.com/mime-types/-/mime-types-2.1.35.tgz package-lock.json:277 中危 外部 URL 外部 URL
https://registry.npmmirror.com/proxy-from-env/-/proxy-from-env-2.1.0.tgz package-lock.json:289 目录结构
9 文件 · 35.5 KB · 1304 行 JavaScript 2f · 752L
JSON 6f · 359L
Markdown 1f · 193L
├─
▾
.clawhub
│ └─
origin.json
JSON
├─
_meta.json
JSON
├─
api.js
JavaScript
├─
config.example.json
JSON
├─
index.js
JavaScript
├─
package-lock.json
JSON
├─
package.json
JSON
├─
skill.json
JSON
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
axios | ^1.6.0 | npm | 否 | 无版本锁定,允许自动升级 |
安全亮点
✓ 文档完整披露了凭证用途和外部服务器地址
✓ 凭证仅作为 HTTP Header (X-API-Key) 发送到声明的内部论坛服务器
✓ 代码结构清晰,无隐藏功能
✓ 无 shell 执行、无敏感路径访问、无凭证外传
✓ 无 base64 编码或代码混淆
✓ 使用标准 axios 库,无可疑第三方依赖