扫描报告
0 /100
daily-reflect
每日日记引导 — 晨间写作引导和晚间回顾反思,帮助用户建立写日记习惯
日记引导工具,代码纯文本生成+本地用户数据持久化,无任何越权或恶意行为。
可以安装
可直接使用,无需限制。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | scripts/push-toggle.js:26 写入 data/users/<userId>.json,SKILL.md 声明了 CLI 命令操作用户推送配… |
| 网络访问 | NONE | NONE | — | 所有脚本仅使用 fs/path 模块,无任何 HTTP 请求 |
| 命令执行 | NONE | NONE | — | 仅通过 node 命令行调用自身脚本,无 subprocess/shell 执行 |
| 环境变量 | NONE | NONE | — | 代码未访问 process.env |
| 剪贴板 | NONE | NONE | — | 无相关代码 |
| 浏览器 | NONE | NONE | — | 无相关代码 |
| 数据库 | NONE | NONE | — | 仅使用本地 JSON 文件存储,无外部数据库 |
| 技能调用 | NONE | NONE | — | 无相关代码 |
1 项发现
中危 外部 URL 外部 URL
https://openclaw.ai README.md:5 目录结构
7 文件 · 10.0 KB · 204 行 Markdown 2f · 104L
JavaScript 3f · 85L
JSON 2f · 15L
├─
▾
scripts
│ ├─
evening-push.js
JavaScript
│ ├─
morning-push.js
JavaScript
│ └─
push-toggle.js
JavaScript
├─
_meta.json
JSON
├─
package.json
JSON
├─
README.md
Markdown
└─
SKILL.md
Markdown
安全亮点
✓ 用户 ID 有严格正则校验(^[a-zA-Z0-9_-]{1,128}$),防止路径遍历攻击
✓ 所有文件路径均通过 safeUserPath() 做路径规范化,防止目录穿越
✓ 数据仅写入 data/users/ 子目录,权限最小化
✓ 依赖仅使用 Node.js 标准库(fs、path),无第三方依赖引入
✓ __OPENCLAW_CRON_ADD__ 是框架约定的标准输出格式,非实际执行,为可信实现
✓ README 中的外部链接 https://openclaw.ai 属于正常的项目文档引用,非可疑行为