中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:6 小时前 重新扫描
5 /100
morning-brief
晨间简报 - 每天自动推送假期倒计时和时间进度
晨间简报工具,声明功能与实际代码行为一致,仅包含必要的节假日数据获取和本地缓存,无敏感操作
技能名称morning-brief
分析耗时32.1s
引擎pi
ClawHub morning-brief v1.0.0 by foxseller
📥 110
ClawHub 判定 可疑 potential_exfiltration
可以安装
可安全安装使用。建议验证节假日 API 数据源的可靠性

安全发现 2 项

严重性 安全发现 位置
低危
外部数据源未声明 供应链
SKILL.md 未提及从外部 shuyz.com 获取节假日数据,数据来源为第三方 GitHub 仓库
const url = `https://www.shuyz.com/githubfiles/china-holiday-calender/master/holidayAPI.json`
→ 建议在 SKILL.md 中声明数据来源,并考虑使用版本锁定的本地副本
 main.js:20
低危
依赖版本未锁定 供应链
package.json 中 axios 和 dayjs 使用 ^ 范围版本,可能引入包含恶意代码的新版本
"axios": "^1.6.0", "dayjs": "^1.11.0"
→ 建议使用精确版本号如 1.6.0 和 1.11.10
 package.json:19
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 main.js:24-25 fs.writeFileSync(cacheFile, ...); main.js:27 JSON.parse(fs.readFil…
网络访问 READ READ ✓ 一致 main.js:20 axios.get(url, { timeout: 10000 })
命令执行 NONE NONE 无 subprocess/spawn/exec 调用
环境变量 NONE NONE 无 os.environ 访问
剪贴板 NONE NONE 无剪贴板操作
浏览器 NONE NONE 无浏览器相关代码
数据库 NONE NONE 无数据库操作
1 项发现
🔗
中危 外部 URL 外部 URL
https://www.shuyz.com/githubfiles/china-holiday-calender/master/holidayAPI.json
main.js:20

目录结构

5 文件 · 5.4 KB · 222 行
JavaScript 1f · 99L Markdown 1f · 66L JSON 3f · 57L
├─ 📋 clawhub.json JSON 23L · 547 B
├─ 📜 main.js JavaScript 99L · 2.9 KB
├─ 📋 package.json JSON 22L · 436 B
├─ 📋 skill.json JSON 12L · 176 B
└─ 📝 SKILL.md Markdown 66L · 1.4 KB

依赖分析 2 项

包名版本来源已知漏洞备注
axios ^1.6.0 npm 无版本锁定,建议锁定为 1.6.8
dayjs ^1.11.0 npm 无版本锁定,建议锁定为 1.11.10

安全亮点

✓ 功能代码简单透明,无混淆
✓ SKILL.md 声明的功能与实际代码行为一致
✓ 无 shell 命令执行
✓ 无敏感文件或凭证访问
✓ 无数据外传行为
✓ 依赖库为知名稳定项目(axios、dayjs)
✓ 文件缓存路径使用 __dirname,相对安全