daily-reflect Security Report — Trusted | ClawSafe

0 /100

daily-reflect

每日日记引导 — 晨间写作引导和晚间回顾反思，帮助用户建立写日记习惯

日记引导工具，代码纯文本生成+本地用户数据持久化，无任何越权或恶意行为。

Skill Namedaily-reflect

Duration24.5s

Enginepi

✓

Safe to install

可直接使用，无需限制。

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	scripts/push-toggle.js:26 写入 data/users/<userId>.json，SKILL.md 声明了 CLI 命令操作用户推送配…
Network	`NONE`	`NONE`	—	所有脚本仅使用 fs/path 模块，无任何 HTTP 请求
Shell	`NONE`	`NONE`	—	仅通过 node 命令行调用自身脚本，无 subprocess/shell 执行
Environment	`NONE`	`NONE`	—	代码未访问 process.env
Clipboard	`NONE`	`NONE`	—	无相关代码
Browser	`NONE`	`NONE`	—	无相关代码
Database	`NONE`	`NONE`	—	仅使用本地 JSON 文件存储，无外部数据库
Skill Invoke	`NONE`	`NONE`	—	无相关代码

1 findings

🔗

Medium External URL 外部 URL

https://openclaw.ai

README.md:5

File Tree

7 files · 10.0 KB · 204 lines

Markdown 2f · 104L JavaScript 3f · 85L JSON 2f · 15L

├─ ▾ 📁 scripts

│ ├─ 📜 evening-push.js JavaScript 18L · 1.4 KB

│ ├─ 📜 morning-push.js JavaScript 18L · 1.5 KB

│ └─ 📜 push-toggle.js JavaScript 49L · 3.6 KB

├─ 📋 _meta.json JSON 7L · 139 B

├─ 📋 package.json JSON 8L · 167 B

├─ 📝 README.md Markdown 43L · 1.6 KB

└─ 📝 SKILL.md Markdown 61L · 1.6 KB

✓ 用户 ID 有严格正则校验（^[a-zA-Z0-9_-]{1,128}$），防止路径遍历攻击

✓ 所有文件路径均通过 safeUserPath() 做路径规范化，防止目录穿越

✓ 数据仅写入 data/users/ 子目录，权限最小化

✓ 依赖仅使用 Node.js 标准库（fs、path），无第三方依赖引入

✓ __OPENCLAW_CRON_ADD__ 是框架约定的标准输出格式，非实际执行，为可信实现

✓ README 中的外部链接 https://openclaw.ai 属于正常的项目文档引用，非可疑行为