Name: morning-brief Security Report — Trusted | ClawSafe
Item: morning-brief
Rating: 95
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

5 /100

morning-brief

晨间简报 - 每天自动推送假期倒计时和时间进度

晨间简报工具，声明功能与实际代码行为一致，仅包含必要的节假日数据获取和本地缓存，无敏感操作

Skill Namemorning-brief

Duration32.1s

Enginepi

ClawHub morning-brief v1.0.0 by foxseller

📥 110

ClawHub Verdict Suspicious potential_exfiltration

✓

Safe to install

可安全安装使用。建议验证节假日 API 数据源的可靠性

Findings 2 items

Severity	Finding	Location
Low	外部数据源未声明 Supply Chain SKILL.md 未提及从外部 shuyz.com 获取节假日数据，数据来源为第三方 GitHub 仓库 const url = `https://www.shuyz.com/githubfiles/china-holiday-calender/master/holidayAPI.json` → 建议在 SKILL.md 中声明数据来源，并考虑使用版本锁定的本地副本	`main.js:20`
Low	依赖版本未锁定 Supply Chain package.json 中 axios 和 dayjs 使用 ^ 范围版本，可能引入包含恶意代码的新版本 `"axios": "^1.6.0", "dayjs": "^1.11.0"` → 建议使用精确版本号如 1.6.0 和 1.11.10	`package.json:19`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	main.js:24-25 fs.writeFileSync(cacheFile, ...); main.js:27 JSON.parse(fs.readFil…
Network	`READ`	`READ`	✓ Aligned	main.js:20 axios.get(url, { timeout: 10000 })
Shell	`NONE`	`NONE`	—	无 subprocess/spawn/exec 调用
Environment	`NONE`	`NONE`	—	无 os.environ 访问
Clipboard	`NONE`	`NONE`	—	无剪贴板操作
Browser	`NONE`	`NONE`	—	无浏览器相关代码
Database	`NONE`	`NONE`	—	无数据库操作

1 findings

🔗

Medium External URL 外部 URL

https://www.shuyz.com/githubfiles/china-holiday-calender/master/holidayAPI.json

main.js:20

File Tree

5 files · 5.4 KB · 222 lines

JavaScript 1f · 99L Markdown 1f · 66L JSON 3f · 57L

├─ 📋 clawhub.json JSON 23L · 547 B

├─ 📜 main.js JavaScript 99L · 2.9 KB

├─ 📋 package.json JSON 22L · 436 B

├─ 📋 skill.json JSON 12L · 176 B

└─ 📝 SKILL.md Markdown 66L · 1.4 KB

Package	Version	Source	Known Vulns	Notes
`axios`	`^1.6.0`	npm	No	无版本锁定，建议锁定为 1.6.8
`dayjs`	`^1.11.0`	npm	No	无版本锁定，建议锁定为 1.11.10

✓ 功能代码简单透明，无混淆

✓ SKILL.md 声明的功能与实际代码行为一致

✓ 无 shell 命令执行

✓ 无敏感文件或凭证访问

✓ 无数据外传行为

✓ 依赖库为知名稳定项目（axios、dayjs）

✓ 文件缓存路径使用 __dirname，相对安全