中文 EN

Scan Report

Scan New Files

Low Risk — Risk Score 22/100
Last scan:10 hr ago Rescan
22 /100
openclaw-grok-search
Cross-platform real-time web research via OpenAI-compatible Grok endpoint
该技能为合法的 Grok 搜索工具,存在轻微文档瑕疵(subprocess 调用未声明)但无恶意行为。
Skill Nameopenclaw-grok-search
Duration46.7s
Enginepi
Safe to install
建议将 subprocess 调用写入文档,并从 config.json 中移除真实 API key。

Findings 3 items

Severity Finding Location
Medium
Subprocess 执行未在文档中声明 Doc Mismatch
scripts/grok_search.py:82 当缺少配置时调用 subprocess.run() 执行 configure.py,但 SKILL.md 仅描述为搜索工具,未提及自动配置行为
run([sys.executable, configure_path], check=True)
→ 在 SKILL.md 中添加说明:当配置缺失时技能会自动运行交互式配置脚本
 scripts/grok_search.py:82
Low
文件系统写入权限未声明 Priv Escalation
技能会写入 config.json 和 config.local.json,但 SKILL.md 未声明此文件系统写入能力
config_path.write_text(json.dumps(config, ...) + "\n", ...)
→ 在 SKILL.md 中明确声明会将配置写入项目本地目录
 scripts/configure.py:47
Low
环境变量读取未声明 Priv Escalation
grok_search.py 读取 GROK_BASE_URL、GROK_API_KEY 等环境变量,但 SKILL.md 未提及环境变量支持
os.environ.get("GROK_BASE_URL", "")
→ 在 SKILL.md 的配置优先级说明中补充环境变量作为配置来源
 scripts/grok_search.py:91
ResourceDeclaredInferredStatusEvidence
Network READ READ ✓ Aligned SKILL.md 声明使用 Grok endpoint 进行网络搜索
Filesystem NONE WRITE ✗ Violation scripts/grok_search.py:82 调用 subprocess 写入 config.json;scripts/configure.py:47 直…
Shell NONE WRITE ✗ Violation scripts/grok_search.py:82 subprocess.run([sys.executable, configure_path])
Environment NONE READ ✗ Violation grok_search.py:91-94 读取 GROK_* 环境变量,但 SKILL.md 未声明
5 findings
🔗
Medium External URL 外部 URL
https://your-grok-endpoint.example
README.md:84
🔗
Medium External URL 外部 URL
https://ai.huan666.de/register?aff=eB8Z
README.md:114
🔗
Medium External URL 外部 URL
https://linux.do/t/topic/1627339
README.md:120
🔗
Medium External URL 外部 URL
https://ai.huan666.de
config.json:2
📧
Info Email 邮箱地址
[email protected]
README.md:149

File Tree

6 files · 24.3 KB · 789 lines
Python 2f · 551L Markdown 2f · 220L JSON 2f · 18L
├─ 📁 scripts
│ ├─ 🐍 configure.py Python 80L · 2.4 KB
│ └─ 🐍 grok_search.py Python 471L · 15.2 KB
├─ 📋 config.example.json JSON 10L · 246 B
├─ 🔑 config.json JSON 8L · 281 B
├─ 📝 README.md Markdown 153L · 4.3 KB
└─ 📝 SKILL.md Markdown 67L · 1.9 KB

Security Positives

✓ 代码结构清晰,无混淆、无 base64 编码执行
✓ 无凭证收割行为(不遍历 os.environ 匹配敏感关键字)
✓ 无数据外泄行为(API 响应仅返回给调用方,不外传)
✓ 无远程代码执行(仅调用本地 configure.py)
✓ 无访问 ~/.ssh、~/.aws 等敏感路径
✓ config.json 中的 API key 是用户主动配置,非技能窃取
✓ 项目本地化设计(不安装到 ~/.codex),权限范围可控