Scan Report
0 /100
shiyi
拾遗 — 通用考试备考追踪 OpenClaw Skill
拾遗考试备考追踪 Skill 完整审查通过,无恶意行为,功能与文档一致。
Safe to install
可直接使用。
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | WRITE | WRITE | ✓ Aligned | SKILL.md:data structure 声明使用 ~/.openclaw/skills/shiyi/data/;代码仅在此目录及 /tmp 下操作 |
| Shell | NONE | NONE | — | export_xlsx.js:43 使用 execFile 而非 exec,仅调用 python3 执行本地脚本,无远程代码 |
| Network | NONE | NONE | — | 全代码库无 fetch/axios/curl/wget,仅有 README.md 中的 shields.io badge 链接 |
1 Critical 6 findings
Critical Encoded Execution Base64 编码执行(代码混淆)
Buffer.from(q.raw_image_b64, 'base64' scripts/export_xlsx.js:140 Medium External URL 外部 URL
https://openclaw.ai README.md:16 Medium External URL 外部 URL
https://img.shields.io/badge/OpenClaw-Skill-orange?style=for-the-badge README.md:17 Medium External URL 外部 URL
https://img.shields.io/badge/License-MIT-blue?style=for-the-badge README.md:20 Medium External URL 外部 URL
https://nodejs.org README.md:22 Medium External URL 外部 URL
https://img.shields.io/badge/node-%3E%3D18-green?style=for-the-badge README.md:23 File Tree
12 files · 54.5 KB · 1525 lines JavaScript 8f · 1172L
Markdown 2f · 319L
JSON 1f · 27L
Ignore 1f · 7L
├─
▾
assets
│ └─
exam_prompts.js
JavaScript
├─
▾
scripts
│ ├─
daily_summary.js
JavaScript
│ ├─
export_xlsx.js
JavaScript
│ ├─
onboarding.js
JavaScript
│ ├─
parse_input.js
JavaScript
│ ├─
review_reminder.js
JavaScript
│ ├─
tag_library.js
JavaScript
│ └─
update_daily.js
JavaScript
├─
.gitignore
Ignore
├─
package.json
JSON
├─
README.md
Markdown
└─
SKILL.md
Markdown
Dependencies 2 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
xlsx | ^0.18.5 | npm | No | 稳定的 Excel 生成库 |
sharp | ^0.33.0 | npm | No | 可选依赖,图像处理 |
Security Positives
✓ 功能与文档完全一致,无阴影功能
✓ 所有文件操作锁定在指定数据目录 (~/.openclaw/skills/shiyi/data/)
✓ 使用 execFile 而非 exec,避免 shell 注入风险
✓ 临时文件写入 /tmp 并在操作后主动清理
✓ JSON 解析使用 try-catch 保护,容错设计良好
✓ Base64 解码仅用于将存储的图片数据还原为文件嵌入 Excel,属合法用途
✓ 无凭证收割、环境变量遍历或敏感路径访问
✓ 依赖少且可信(仅 xlsx + 可选 sharp)