抖音续火花 Security Report — Trusted | ClawSafe

5 /100

抖音续火花

自动为抖音私信联系人续火花，保持火花标识不灭

抖音续火花技能为合法的浏览器自动化工具，声明能力与实际代码行为一致，无敏感操作或数据外泄风险

Skill Name抖音续火花

Duration33.8s

Enginepi

✓

Safe to install

技能可安全使用，无需额外限制

Findings 1 items

Severity	Finding	Location
Low	browser工具声明不明确 Doc Mismatch SKILL.md说明使用browser工具自动化，但未在allowed-tools中声明具体工具集，权限边界略显模糊 `browser action=navigate url=https://www.douyin.com/chat?isPopup=1` → 建议在SKILL.md开头明确声明allowed-tools: [browser]	`SKILL.md:1`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	douyin-spark.js:54 仅读取memory目录下的联系人文件
Shell	`NONE`	`READ`	✓ Aligned	douyin-spark.js:67 仅通过execSync调用openclaw CLI，不执行任意shell命令
Browser	`WRITE`	`WRITE`	✓ Aligned	SKILL.md声明browser工具用于页面导航、快照、点击输入操作
Environment	`NONE`	`READ`	✓ Aligned	douyin-spark.js:36 仅访问HOME/USERPROFILE用于路径拼接，无敏感凭证遍历

1 findings

🔗

Medium External URL 外部 URL

https://www.douyin.com/chat?isPopup=1

SKILL.md:33

8 files · 16.2 KB · 690 lines

Markdown 6f · 454L JavaScript 1f · 215L JSON 1f · 21L

├─ ▾ 📁 memory

│ └─ 📝 douyin-spark-contacts.md Markdown 25L · 726 B

├─ 📝 contacts.example.md Markdown 19L · 617 B

├─ 📜 douyin-spark.js JavaScript 215L · 5.6 KB

├─ 📋 package.json JSON 21L · 417 B

├─ 📝 README.md Markdown 127L · 2.4 KB

├─ 📝 SKILL.md Markdown 83L · 2.0 KB

├─ 📝 咸鱼商品描述.md Markdown 122L · 2.6 KB

└─ 📝 安装说明.md Markdown 78L · 1.9 KB

Package	Version	Source	Known Vulns	Notes
`无第三方依赖`	`N/A`	仅使用Node.js内置模块	No	child_process、fs、path均为Node.js标准库

✓ 仅使用Node.js内置模块（child_process、fs、path），无第三方依赖

✓ 代码功能与文档描述完全一致，无阴影功能

✓ 不访问敏感路径（~/.ssh、~/.aws、.env等）

✓ 不收集或外传任何凭证信息

✓ 无混淆代码（无base64编码、无eval执行）

✓ 无网络请求直接发起，所有网络操作通过browser工具声明

✓ 联系人数据存储在本地工作区目录