扫描报告
22 /100
openclaw-grok-search
Cross-platform real-time web research via OpenAI-compatible Grok endpoint
该技能为合法的 Grok 搜索工具,存在轻微文档瑕疵(subprocess 调用未声明)但无恶意行为。
可以安装
建议将 subprocess 调用写入文档,并从 config.json 中移除真实 API key。
安全发现 3 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 中危 | Subprocess 执行未在文档中声明 文档欺骗 | scripts/grok_search.py:82 |
| 低危 | 文件系统写入权限未声明 权限提升 | scripts/configure.py:47 |
| 低危 | 环境变量读取未声明 权限提升 | scripts/grok_search.py:91 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 网络访问 | READ | READ | ✓ 一致 | SKILL.md 声明使用 Grok endpoint 进行网络搜索 |
| 文件系统 | NONE | WRITE | ✗ 越权 | scripts/grok_search.py:82 调用 subprocess 写入 config.json;scripts/configure.py:47 直… |
| 命令执行 | NONE | WRITE | ✗ 越权 | scripts/grok_search.py:82 subprocess.run([sys.executable, configure_path]) |
| 环境变量 | NONE | READ | ✗ 越权 | grok_search.py:91-94 读取 GROK_* 环境变量,但 SKILL.md 未声明 |
5 项发现
中危 外部 URL 外部 URL
https://your-grok-endpoint.example README.md:84 中危 外部 URL 外部 URL
https://ai.huan666.de/register?aff=eB8Z README.md:114 中危 外部 URL 外部 URL
https://linux.do/t/topic/1627339 README.md:120 中危 外部 URL 外部 URL
https://ai.huan666.de config.json:2 提示 邮箱 邮箱地址
[email protected] README.md:149 目录结构
6 文件 · 24.3 KB · 789 行 Python 2f · 551L
Markdown 2f · 220L
JSON 2f · 18L
├─
▾
scripts
│ ├─
configure.py
Python
│ └─
grok_search.py
Python
├─
config.example.json
JSON
├─
config.json
⚠
JSON
├─
README.md
Markdown
└─
SKILL.md
Markdown
安全亮点
✓ 代码结构清晰,无混淆、无 base64 编码执行
✓ 无凭证收割行为(不遍历 os.environ 匹配敏感关键字)
✓ 无数据外泄行为(API 响应仅返回给调用方,不外传)
✓ 无远程代码执行(仅调用本地 configure.py)
✓ 无访问 ~/.ssh、~/.aws 等敏感路径
✓ config.json 中的 API key 是用户主动配置,非技能窃取
✓ 项目本地化设计(不安装到 ~/.codex),权限范围可控