中文 EN

扫描报告

扫描新文件

可信 — 风险评分 10/100
上次扫描:5 小时前 重新扫描
10 /100
kids-points
儿童积分语音助手 - 支持语音记账、语音播报、音频识别
kids-points 是合法的儿童积分管理技能,代码功能与文档声明一致,无恶意行为发现。核心功能为积分记账、语音交互(通过外部 SenseAudio API)和定时日报,权限使用合理。
技能名称kids-points
分析耗时69.6s
引擎pi
ClawHub 孩子积分管理 v1.3.0 by cowboy231
📥 164
ClawHub 判定 可疑 dangerous_execllm_suspiciousvt_suspicious
可以安装
可直接使用。建议关注 SenseAudio API 服务的可用性。如需更高隔离,可考虑使用沙箱环境运行 exec 调用。

安全发现 2 项

严重性 安全发现 位置
低危
依赖版本未锁定 供应链
package.json 中 dependencies 为空 {},缺少第三方依赖声明。无版本锁定可能存在供应链风险。
"dependencies": {}
→ 建议声明实际依赖如 'requests'(Python)和确认 Node.js 依赖
 package.json:11
提示
API Key 存储于配置文件 凭证窃取
SENSE_API_KEY 存储在 ~/.openclaw/openclaw.json 配置文件中,通过 fs.readFileSync 读取。
const apiKey = config.env?.SENSE_API_KEY;
→ 此为正常使用场景,非恶意行为
 scripts/handler.js:358
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 handler.js:recordIncome() 写入 monthly/*.md
命令执行 WRITE WRITE ✓ 一致 handler.js:playTTS() exec() 调用 Python TTS 脚本
网络访问 READ READ ✓ 一致 通过外部 SenseAudio HTTP API 进行 TTS/ASR
环境变量 READ READ ✓ 一致 读取 SENSE_API_KEY 从 ~/.openclaw/openclaw.json
剪贴板 NONE NONE 无相关代码
浏览器 NONE NONE 无相关代码
数据库 NONE NONE 无相关代码
技能调用 NONE NONE 无相关代码
9 项发现
🔗
中危 外部 URL 外部 URL
https://senseaudio.cn
DEPENDENCIES.md:94
🔗
中危 外部 URL 外部 URL
https://clawhub.com
META_SKILL.md:148
🔗
中危 外部 URL 外部 URL
https://clawhub.com/skills/kids-points(发布后)
PUBLISH_CHECKLIST.md:152
🔗
中危 外部 URL 外部 URL
https://clawhub.com/skills/kids-points/docs(发布后)
PUBLISH_CHECKLIST.md:153
🔗
中危 外部 URL 外部 URL
https://clawhub.com/skills/kids-points/issues(发布后)
PUBLISH_CHECKLIST.md:154
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/version-1.2.0-blue.svg
README.md:5
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/license-MIT-green.svg
README.md:6
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/voice-KidPointVoice-orange.svg
README.md:7
🔗
中危 外部 URL 外部 URL
https://senseaudio.cn\n
scripts/handler.js:20

目录结构

28 文件 · 164.2 KB · 5974 行
Markdown 11f · 3085L JavaScript 12f · 2644L Shell 3f · 133L JSON 2f · 112L
├─ 📁 config
│ └─ 📋 rules.json JSON 88L · 2.2 KB
├─ 📁 scripts
│ ├─ 🔧 auto-daily-report.sh Shell 38L · 1.3 KB
│ ├─ 📜 check-overdraft.js JavaScript 79L · 2.3 KB
│ ├─ 📜 daily-summary.js JavaScript 94L · 2.6 KB
│ ├─ 🔧 daily-summary.sh Shell 13L · 470 B
│ ├─ 📜 generate-daily-report.js JavaScript 509L · 14.8 KB
│ ├─ 📜 handle-image.js JavaScript 69L · 1.8 KB
│ ├─ 📜 handler.js JavaScript 916L · 29.6 KB
│ ├─ 📜 index.js JavaScript 60L · 1.7 KB
│ ├─ 📜 install-dependencies.js JavaScript 206L · 5.5 KB
│ ├─ 📜 parse-input.js JavaScript 206L · 5.7 KB
│ ├─ 🔧 send-daily-report.sh Shell 82L · 2.9 KB
│ ├─ 📜 test-prompts.js JavaScript 47L · 1.4 KB
│ ├─ 📜 test-v1.3.js JavaScript 95L · 3.7 KB
│ └─ 📜 wrapper.js JavaScript 99L · 2.3 KB
├─ 📜 agent-handler.js JavaScript 264L · 9.3 KB
├─ 📝 config.md Markdown 50L · 1.1 KB
├─ 📝 DEPENDENCIES.md Markdown 304L · 6.0 KB
├─ 📝 META_SKILL.md Markdown 302L · 5.9 KB
├─ 📝 OPTIMIZATION_SUMMARY.md Markdown 402L · 10.9 KB
├─ 📋 package.json JSON 24L · 672 B
├─ 📝 PROMPTS_GUIDE.md Markdown 276L · 5.9 KB
├─ 📝 PUBLISH_CHECKLIST.md Markdown 167L · 4.1 KB
├─ 📝 README.md Markdown 252L · 6.1 KB
├─ 📝 RELEASE_CHECKLIST.md Markdown 218L · 4.9 KB
├─ 📝 RULES.md Markdown 332L · 9.1 KB
├─ 📝 SKILL.md Markdown 608L · 18.2 KB
└─ 📝 USAGE.md Markdown 174L · 3.7 KB

依赖分析 1 项

包名版本来源已知漏洞备注
requests * pip Python HTTP 库,无版本锁定

安全亮点

✓ 代码功能与 SKILL.md 文档声明完全一致,无阴影功能
✓ 使用外部 Python 脚本调用 TTS/ASR,路径可控在 WORKSPACE 内
✓ 积分数据存储于本地文件,不外传用户数据
✓ 无凭证收割、远程执行恶意代码、数据外泄等高危行为
✓ shell exec 仅用于语音合成必要需求,非任意命令执行
✓ 代码结构清晰,无混淆、无隐藏逻辑