抖音续火花安全扫描报告 — 可信 | ClawSafe

5 /100

抖音续火花

自动为抖音私信联系人续火花，保持火花标识不灭

抖音续火花技能为合法的浏览器自动化工具，声明能力与实际代码行为一致，无敏感操作或数据外泄风险

技能名称抖音续火花

分析耗时33.8s

引擎pi

✓

可以安装

技能可安全使用，无需额外限制

安全发现 1 项

严重性	安全发现	位置
低危	browser工具声明不明确文档欺骗 SKILL.md说明使用browser工具自动化，但未在allowed-tools中声明具体工具集，权限边界略显模糊 `browser action=navigate url=https://www.douyin.com/chat?isPopup=1` → 建议在SKILL.md开头明确声明allowed-tools: [browser]	`SKILL.md:1`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	douyin-spark.js:54 仅读取memory目录下的联系人文件
命令执行	`NONE`	`READ`	✓ 一致	douyin-spark.js:67 仅通过execSync调用openclaw CLI，不执行任意shell命令
浏览器	`WRITE`	`WRITE`	✓ 一致	SKILL.md声明browser工具用于页面导航、快照、点击输入操作
环境变量	`NONE`	`READ`	✓ 一致	douyin-spark.js:36 仅访问HOME/USERPROFILE用于路径拼接，无敏感凭证遍历

1 项发现

🔗

中危外部 URL 外部 URL

https://www.douyin.com/chat?isPopup=1

SKILL.md:33

8 文件 · 16.2 KB · 690 行

Markdown 6f · 454L JavaScript 1f · 215L JSON 1f · 21L

├─ ▾ 📁 memory

│ └─ 📝 douyin-spark-contacts.md Markdown 25L · 726 B

├─ 📝 contacts.example.md Markdown 19L · 617 B

├─ 📜 douyin-spark.js JavaScript 215L · 5.6 KB

├─ 📋 package.json JSON 21L · 417 B

├─ 📝 README.md Markdown 127L · 2.4 KB

├─ 📝 SKILL.md Markdown 83L · 2.0 KB

├─ 📝 咸鱼商品描述.md Markdown 122L · 2.6 KB

└─ 📝 安装说明.md Markdown 78L · 1.9 KB

包名	版本	来源	已知漏洞	备注
`无第三方依赖`	`N/A`	仅使用Node.js内置模块	否	child_process、fs、path均为Node.js标准库

✓ 仅使用Node.js内置模块（child_process、fs、path），无第三方依赖

✓ 代码功能与文档描述完全一致，无阴影功能

✓ 不访问敏感路径（~/.ssh、~/.aws、.env等）

✓ 不收集或外传任何凭证信息

✓ 无混淆代码（无base64编码、无eval执行）

✓ 无网络请求直接发起，所有网络操作通过browser工具声明

✓ 联系人数据存储在本地工作区目录