中文 EN

扫描报告

扫描新文件

可信 — 风险评分 0/100
上次扫描:2 天前 重新扫描
0 /100
shiyi
拾遗 — 通用考试备考追踪 OpenClaw Skill
拾遗考试备考追踪 Skill 完整审查通过,无恶意行为,功能与文档一致。
技能名称shiyi
分析耗时28.0s
引擎pi
可以安装
可直接使用。
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 SKILL.md:data structure 声明使用 ~/.openclaw/skills/shiyi/data/;代码仅在此目录及 /tmp 下操作
命令执行 NONE NONE export_xlsx.js:43 使用 execFile 而非 exec,仅调用 python3 执行本地脚本,无远程代码
网络访问 NONE NONE 全代码库无 fetch/axios/curl/wget,仅有 README.md 中的 shields.io badge 链接
1 严重 6 项发现
🔒
严重 编码执行 Base64 编码执行(代码混淆)
Buffer.from(q.raw_image_b64, 'base64'
scripts/export_xlsx.js:140
🔗
中危 外部 URL 外部 URL
https://openclaw.ai
README.md:16
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/OpenClaw-Skill-orange?style=for-the-badge
README.md:17
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/License-MIT-blue?style=for-the-badge
README.md:20
🔗
中危 外部 URL 外部 URL
https://nodejs.org
README.md:22
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/node-%3E%3D18-green?style=for-the-badge
README.md:23

目录结构

12 文件 · 54.5 KB · 1525 行
JavaScript 8f · 1172L Markdown 2f · 319L JSON 1f · 27L Ignore 1f · 7L
├─ 📁 assets
│ └─ 📜 exam_prompts.js JavaScript 182L · 9.6 KB
├─ 📁 scripts
│ ├─ 📜 daily_summary.js JavaScript 66L · 2.1 KB
│ ├─ 📜 export_xlsx.js JavaScript 182L · 6.6 KB
│ ├─ 📜 onboarding.js JavaScript 89L · 2.9 KB
│ ├─ 📜 parse_input.js JavaScript 270L · 9.6 KB
│ ├─ 📜 review_reminder.js JavaScript 139L · 4.9 KB
│ ├─ 📜 tag_library.js JavaScript 133L · 4.2 KB
│ └─ 📜 update_daily.js JavaScript 111L · 4.0 KB
├─ 📄 .gitignore Ignore 7L · 60 B
├─ 📋 package.json JSON 27L · 696 B
├─ 📝 README.md Markdown 165L · 4.6 KB
└─ 📝 SKILL.md Markdown 154L · 5.2 KB

依赖分析 2 项

包名版本来源已知漏洞备注
xlsx ^0.18.5 npm 稳定的 Excel 生成库
sharp ^0.33.0 npm 可选依赖,图像处理

安全亮点

✓ 功能与文档完全一致,无阴影功能
✓ 所有文件操作锁定在指定数据目录 (~/.openclaw/skills/shiyi/data/)
✓ 使用 execFile 而非 exec,避免 shell 注入风险
✓ 临时文件写入 /tmp 并在操作后主动清理
✓ JSON 解析使用 try-catch 保护,容错设计良好
✓ Base64 解码仅用于将存储的图片数据还原为文件嵌入 Excel,属合法用途
✓ 无凭证收割、环境变量遍历或敏感路径访问
✓ 依赖少且可信(仅 xlsx + 可选 sharp)