中文 EN

扫描报告

扫描新文件

可信 — 风险评分 10/100
上次扫描:2 天前 重新扫描
10 /100
douyin-spark
抖音自动续火花技能 - 自动为抖音私信联系人续火花,保持火花标识不灭
抖音续火花技能是一个合法的浏览器自动化工具,用于自动为抖音联系人发送消息保持火花关系,无恶意行为。
技能名称douyin-spark
分析耗时29.7s
引擎pi
可以安装
该技能可安全使用。代码实现与文档描述一致,仅使用标准的 openclaw CLI 工具进行浏览器自动化。

安全发现 2 项

严重性 安全发现 位置
低危
execSync 调用未显式声明
代码使用 child_process.execSync 调用 openclaw CLI 工具,但 SKILL.md 中仅描述 browser 工具操作,未提及会调用本地 CLI
execSync(cmd, { stdio: 'pipe' });
→ 建议在 SKILL.md 中补充说明:'通过 openclaw CLI 工具执行浏览器命令'
 douyin-spark.js:76
低危
文件系统写入权限隐式声明
addContact 和 removeContact 函数会修改联系人文件,但 SKILL.md 未明确声明 filesystem:WRITE 权限
function addContact(name) { ... }
→ 建议在 SKILL.md 中添加:'修改 ~/.openclaw/workspace/memory/douyin-spark-contacts.md 联系人列表'
 douyin-spark.js:102
资源类型声明权限推断权限状态证据
浏览器 READ READ ✓ 一致 SKILL.md:33-34 - browser navigate to Douyin chat URL
文件系统 READ (隐式) READ/WRITE ✓ 一致 douyin-spark.js:50 - 读取联系人列表文件
命令执行 NONE EXECUTE ✓ 一致 douyin-spark.js:76 - execSync 调用 openclaw CLI,属于合法工具调用
1 项发现
🔗
中危 外部 URL 外部 URL
https://www.douyin.com/chat?isPopup=1
SKILL.md:33

目录结构

8 文件 · 16.2 KB · 690 行
Markdown 6f · 454L JavaScript 1f · 215L JSON 1f · 21L
├─ 📁 memory
│ └─ 📝 douyin-spark-contacts.md Markdown 25L · 726 B
├─ 📝 contacts.example.md Markdown 19L · 617 B
├─ 📜 douyin-spark.js JavaScript 215L · 5.6 KB
├─ 📋 package.json JSON 21L · 417 B
├─ 📝 README.md Markdown 127L · 2.4 KB
├─ 📝 SKILL.md Markdown 83L · 2.0 KB
├─ 📝 咸鱼商品描述.md Markdown 122L · 2.6 KB
└─ 📝 安装说明.md Markdown 78L · 1.9 KB

依赖分析 1 项

包名版本来源已知漏洞备注
openclaw-skill-douyin-spark 1.0.0 npm 本地开发的 OpenClaw 技能包,无外部依赖

安全亮点

✓ 无恶意代码模式(无 base64 解码、无 eval、无可疑加密)
✓ 无数据外泄行为(无外部网络请求、无凭证收集)
✓ 无敏感路径访问(不访问 ~/.ssh、~/.aws、.env 等)
✓ 无远程脚本执行(无 curl|bash 或 wget|sh)
✓ 代码结构清晰,注释完整
✓ 仅使用标准 Node.js 模块和 openclaw CLI 工具
✓ 联系人数据仅存储在本地,不涉及第三方传输