中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 10/100
Last scan:4 hr ago Rescan
10 /100
subgraph-registry
The Graph Subgraph Registry - Agent-friendly discovery of 15,500+ classified subgraphs on The Graph Network
The Graph Subgraph Registry 发现工具,代码干净无恶意行为,仅存在文档完整性轻微瑕疵(MCP服务器从GitHub下载预构建数据库未在SKILL.md声明)。
Skill Namesubgraph-registry
Duration59.2s
Enginepi
ClawHub Subgraph Registry v0.3.0 by paulieb14
📥 168
ClawHub Verdict Suspicious env_credential_accessllm_suspicious
Safe to install
无需阻断。可考虑补充说明从GitHub下载registry.db的行为以提升透明度。

Findings 3 items

Severity Finding Location
Low
从GitHub下载预构建数据库未在文档中声明 Doc Mismatch
mcp_server.py和index.js均在启动时从https://github.com/PaulieB14/subgraph-registry下载预构建的registry.db,但SKILL.md未提及此行为。下载行为本身是合理的(加速初始化、避免每次重建),但应补充说明。
urllib.request.urlretrieve(GITHUB_DB_URL, str(DB_PATH))
→ 在SKILL.md的Install或Tools部分补充说明:'首次启动时会自动从GitHub下载预构建的subgraph分类数据库'
 python/mcp_server.py:137
Info
支持可选的Graph API Key配置 Sensitive Access
crawler.py和mcp_server.py支持通过环境变量GATEWAY_API_KEY或.env文件配置Graph Gateway API密钥。代码正确处理了key缺失情况(使用无key的公开端点),无凭证外传风险。
GATEWAY_API_KEY = os.environ.get('GATEWAY_API_KEY', '')
→ 无需修改,已正确实现
 python/crawler.py:33
Info
依赖包无版本锁定 Supply Chain
requirements.txt中httpx、polars、fastapi等依赖未指定版本范围,可能引入供应链风险
httpx[http2]>=0.27
→ 建议锁定版本以提高可复现性和安全性
 python/requirements.txt:1
ResourceDeclaredInferredStatusEvidence
Filesystem READ READ ✓ Aligned 所有文件操作仅限于python/data/目录
Network NONE READ ✓ Aligned mcp_server.py:137 从GitHub下载数据库
Shell NONE NONE 无shell执行调用
Environment NONE READ ✓ Aligned crawler.py:33 读取GATEWAY_API_KEY,仅用于Graph API调用
14 findings
🔗
Medium External URL 外部 URL
https://glama.ai/mcp/servers/PaulieB14/subgraph-registry
README.md:3
🔗
Medium External URL 外部 URL
https://glama.ai/mcp/servers/PaulieB14/subgraph-registry/badge
README.md:4
🔗
Medium External URL 外部 URL
https://thegraph.com
README.md:7
🔗
Medium External URL 外部 URL
https://glama.ai/mcp/schemas/server.json
glama.json:2
🔗
Medium External URL 外部 URL
https://gateway.thegraph.com/api/
python/crawler.py:38
🔗
Medium External URL 外部 URL
https://gateway.thegraph.com/api/subgraphs/id/
python/crawler.py:40
🔗
Medium External URL 外部 URL
https://gateway.thegraph.com/api/[api-key
python/mcp_server.py:140
🔗
Medium External URL 外部 URL
https://thegraph.com/studio/apikeys/
python/mcp_server.py:148
🔗
Medium External URL 外部 URL
https://uniswap.org
python/test_classifier.py:11
🔗
Medium External URL 外部 URL
https://aave.com
python/test_classifier.py:31
🔗
Medium External URL 外部 URL
https://ens.domains
python/test_classifier.py:53
🔗
Medium External URL 外部 URL
https://premia.blue
python/test_classifier.py:72
🔗
Medium External URL 外部 URL
https://static.modelcontextprotocol.io/schemas/2025-12-11/server.schema.json
server.json:2
🔗
Medium External URL 外部 URL
https://gateway.thegraph.com/api/YOUR_KEY/subgraphs/id/$
src/index.js:288

File Tree

15 files · 111.5 KB · 3171 lines
Python 7f · 2361L JavaScript 1f · 480L Markdown 2f · 247L JSON 4f · 78L Text 1f · 5L
├─ 📁 python
│ ├─ 📁 data
│ │ └─ 📋 sync-state.json JSON 4L · 121 B
│ ├─ 🐍 classifier.py Python 635L · 21.8 KB
│ ├─ 🐍 crawler.py Python 460L · 15.0 KB
│ ├─ 🐍 mcp_server.py Python 450L · 16.7 KB
│ ├─ 🐍 registry.py Python 305L · 11.4 KB
│ ├─ 📄 requirements.txt Text 5L · 74 B
│ ├─ 🐍 scheduler.py Python 67L · 2.1 KB
│ ├─ 🐍 server.py Python 295L · 9.7 KB
│ └─ 🐍 test_classifier.py Python 149L · 6.8 KB
├─ 📁 src
│ └─ 📜 index.js JavaScript 480L · 17.7 KB
├─ 📋 glama.json JSON 4L · 92 B
├─ 📋 package.json JSON 41L · 968 B
├─ 📝 README.md Markdown 224L · 7.2 KB
├─ 📋 server.json JSON 29L · 752 B
└─ 📝 SKILL.md Markdown 23L · 1.1 KB

Dependencies 5 items

PackageVersionSourceKnown VulnsNotes
httpx >=0.27 pip No 无版本锁定
polars >=1.0 pip No 无版本锁定
fastapi >=0.115 pip No 无版本锁定
@modelcontextprotocol/sdk * npm No package.json无版本锁定
better-sqlite3 * npm No package.json无版本锁定

Security Positives

✓ 代码结构清晰,无混淆或反分析技术
✓ 无凭证收割、环境变量遍历等高危行为
✓ 无shell执行、反向shell或代码注入风险
✓ 网络请求仅限于The Graph官方API和GitHub预构建数据库
✓ 文件系统操作仅限python/data/目录
✓ SQLite数据库为只读模式(server.py)或运行时创建(registry.py)
✓ 工具功能与SKILL.md声明基本一致