中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 10/100
Last scan:3 hr ago Rescan
10 /100
kids-points
儿童积分语音助手 - 支持语音记账、语音播报、音频识别
kids-points 是合法的儿童积分管理技能,代码功能与文档声明一致,无恶意行为发现。核心功能为积分记账、语音交互(通过外部 SenseAudio API)和定时日报,权限使用合理。
Skill Namekids-points
Duration69.6s
Enginepi
ClawHub 孩子积分管理 v1.3.0 by cowboy231
📥 164
ClawHub Verdict Suspicious dangerous_execllm_suspiciousvt_suspicious
Safe to install
可直接使用。建议关注 SenseAudio API 服务的可用性。如需更高隔离,可考虑使用沙箱环境运行 exec 调用。

Findings 2 items

Severity Finding Location
Low
依赖版本未锁定 Supply Chain
package.json 中 dependencies 为空 {},缺少第三方依赖声明。无版本锁定可能存在供应链风险。
"dependencies": {}
→ 建议声明实际依赖如 'requests'(Python)和确认 Node.js 依赖
 package.json:11
Info
API Key 存储于配置文件 Credential Theft
SENSE_API_KEY 存储在 ~/.openclaw/openclaw.json 配置文件中,通过 fs.readFileSync 读取。
const apiKey = config.env?.SENSE_API_KEY;
→ 此为正常使用场景,非恶意行为
 scripts/handler.js:358
ResourceDeclaredInferredStatusEvidence
Filesystem WRITE WRITE ✓ Aligned handler.js:recordIncome() 写入 monthly/*.md
Shell WRITE WRITE ✓ Aligned handler.js:playTTS() exec() 调用 Python TTS 脚本
Network READ READ ✓ Aligned 通过外部 SenseAudio HTTP API 进行 TTS/ASR
Environment READ READ ✓ Aligned 读取 SENSE_API_KEY 从 ~/.openclaw/openclaw.json
Clipboard NONE NONE 无相关代码
Browser NONE NONE 无相关代码
Database NONE NONE 无相关代码
Skill Invoke NONE NONE 无相关代码
9 findings
🔗
Medium External URL 外部 URL
https://senseaudio.cn
DEPENDENCIES.md:94
🔗
Medium External URL 外部 URL
https://clawhub.com
META_SKILL.md:148
🔗
Medium External URL 外部 URL
https://clawhub.com/skills/kids-points(发布后)
PUBLISH_CHECKLIST.md:152
🔗
Medium External URL 外部 URL
https://clawhub.com/skills/kids-points/docs(发布后)
PUBLISH_CHECKLIST.md:153
🔗
Medium External URL 外部 URL
https://clawhub.com/skills/kids-points/issues(发布后)
PUBLISH_CHECKLIST.md:154
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/version-1.2.0-blue.svg
README.md:5
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/license-MIT-green.svg
README.md:6
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/voice-KidPointVoice-orange.svg
README.md:7
🔗
Medium External URL 外部 URL
https://senseaudio.cn\n
scripts/handler.js:20

File Tree

28 files · 164.2 KB · 5974 lines
Markdown 11f · 3085L JavaScript 12f · 2644L Shell 3f · 133L JSON 2f · 112L
├─ 📁 config
│ └─ 📋 rules.json JSON 88L · 2.2 KB
├─ 📁 scripts
│ ├─ 🔧 auto-daily-report.sh Shell 38L · 1.3 KB
│ ├─ 📜 check-overdraft.js JavaScript 79L · 2.3 KB
│ ├─ 📜 daily-summary.js JavaScript 94L · 2.6 KB
│ ├─ 🔧 daily-summary.sh Shell 13L · 470 B
│ ├─ 📜 generate-daily-report.js JavaScript 509L · 14.8 KB
│ ├─ 📜 handle-image.js JavaScript 69L · 1.8 KB
│ ├─ 📜 handler.js JavaScript 916L · 29.6 KB
│ ├─ 📜 index.js JavaScript 60L · 1.7 KB
│ ├─ 📜 install-dependencies.js JavaScript 206L · 5.5 KB
│ ├─ 📜 parse-input.js JavaScript 206L · 5.7 KB
│ ├─ 🔧 send-daily-report.sh Shell 82L · 2.9 KB
│ ├─ 📜 test-prompts.js JavaScript 47L · 1.4 KB
│ ├─ 📜 test-v1.3.js JavaScript 95L · 3.7 KB
│ └─ 📜 wrapper.js JavaScript 99L · 2.3 KB
├─ 📜 agent-handler.js JavaScript 264L · 9.3 KB
├─ 📝 config.md Markdown 50L · 1.1 KB
├─ 📝 DEPENDENCIES.md Markdown 304L · 6.0 KB
├─ 📝 META_SKILL.md Markdown 302L · 5.9 KB
├─ 📝 OPTIMIZATION_SUMMARY.md Markdown 402L · 10.9 KB
├─ 📋 package.json JSON 24L · 672 B
├─ 📝 PROMPTS_GUIDE.md Markdown 276L · 5.9 KB
├─ 📝 PUBLISH_CHECKLIST.md Markdown 167L · 4.1 KB
├─ 📝 README.md Markdown 252L · 6.1 KB
├─ 📝 RELEASE_CHECKLIST.md Markdown 218L · 4.9 KB
├─ 📝 RULES.md Markdown 332L · 9.1 KB
├─ 📝 SKILL.md Markdown 608L · 18.2 KB
└─ 📝 USAGE.md Markdown 174L · 3.7 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
requests * pip No Python HTTP 库,无版本锁定

Security Positives

✓ 代码功能与 SKILL.md 文档声明完全一致,无阴影功能
✓ 使用外部 Python 脚本调用 TTS/ASR,路径可控在 WORKSPACE 内
✓ 积分数据存储于本地文件,不外传用户数据
✓ 无凭证收割、远程执行恶意代码、数据外泄等高危行为
✓ shell exec 仅用于语音合成必要需求,非任意命令执行
✓ 代码结构清晰,无混淆、无隐藏逻辑