中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 10/100
Last scan:2 days ago Rescan
10 /100
douyin-spark
抖音自动续火花技能 - 自动为抖音私信联系人续火花,保持火花标识不灭
抖音续火花技能是一个合法的浏览器自动化工具,用于自动为抖音联系人发送消息保持火花关系,无恶意行为。
Skill Namedouyin-spark
Duration29.7s
Enginepi
Safe to install
该技能可安全使用。代码实现与文档描述一致,仅使用标准的 openclaw CLI 工具进行浏览器自动化。

Findings 2 items

Severity Finding Location
Low
execSync 调用未显式声明
代码使用 child_process.execSync 调用 openclaw CLI 工具,但 SKILL.md 中仅描述 browser 工具操作,未提及会调用本地 CLI
execSync(cmd, { stdio: 'pipe' });
→ 建议在 SKILL.md 中补充说明:'通过 openclaw CLI 工具执行浏览器命令'
 douyin-spark.js:76
Low
文件系统写入权限隐式声明
addContact 和 removeContact 函数会修改联系人文件,但 SKILL.md 未明确声明 filesystem:WRITE 权限
function addContact(name) { ... }
→ 建议在 SKILL.md 中添加:'修改 ~/.openclaw/workspace/memory/douyin-spark-contacts.md 联系人列表'
 douyin-spark.js:102
ResourceDeclaredInferredStatusEvidence
Browser READ READ ✓ Aligned SKILL.md:33-34 - browser navigate to Douyin chat URL
Filesystem READ (隐式) READ/WRITE ✓ Aligned douyin-spark.js:50 - 读取联系人列表文件
Shell NONE EXECUTE ✓ Aligned douyin-spark.js:76 - execSync 调用 openclaw CLI,属于合法工具调用
1 findings
🔗
Medium External URL 外部 URL
https://www.douyin.com/chat?isPopup=1
SKILL.md:33

File Tree

8 files · 16.2 KB · 690 lines
Markdown 6f · 454L JavaScript 1f · 215L JSON 1f · 21L
├─ 📁 memory
│ └─ 📝 douyin-spark-contacts.md Markdown 25L · 726 B
├─ 📝 contacts.example.md Markdown 19L · 617 B
├─ 📜 douyin-spark.js JavaScript 215L · 5.6 KB
├─ 📋 package.json JSON 21L · 417 B
├─ 📝 README.md Markdown 127L · 2.4 KB
├─ 📝 SKILL.md Markdown 83L · 2.0 KB
├─ 📝 咸鱼商品描述.md Markdown 122L · 2.6 KB
└─ 📝 安装说明.md Markdown 78L · 1.9 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
openclaw-skill-douyin-spark 1.0.0 npm No 本地开发的 OpenClaw 技能包,无外部依赖

Security Positives

✓ 无恶意代码模式(无 base64 解码、无 eval、无可疑加密)
✓ 无数据外泄行为(无外部网络请求、无凭证收集)
✓ 无敏感路径访问(不访问 ~/.ssh、~/.aws、.env 等)
✓ 无远程脚本执行(无 curl|bash 或 wget|sh)
✓ 代码结构清晰,注释完整
✓ 仅使用标准 Node.js 模块和 openclaw CLI 工具
✓ 联系人数据仅存储在本地,不涉及第三方传输