minimax-usage-monitor Security Report — Trusted | ClawSafe

8 /100

minimax-usage-monitor

MiniMax Token Plan 用量查询与监控工具，支持单次查询、定时 cron 监控、多渠道通知（QQ/Discord/Telegram）

MiniMax Token Plan 用量监控工具，代码功能与文档声明一致，无阴影行为，为合法 Web 自动化工具。

Skill Nameminimax-usage-monitor

Duration54.5s

Enginepi

✓

Safe to install

可安全使用。建议：1) 依赖版本锁定以防漏洞；2) .env 文件勿提交至版本控制；3) OpenClaw Gateway Token 勿泄露。

Findings 3 items

Severity	Finding	Location
Info	预扫描误报：IP 120.0.0.0 预扫描标记的 '硬编码 IP 120.0.0.0' 实际上是 get_usage.js:43 的 User-Agent 字符串中的 Chrome 版本号 '120.0.0.0'，不是网络 IP 地址，属于误报。 `userAgent: 'Mozilla/5.0...Chrome/120.0.0.0 Safari/537.36'` → 无需处理	`scripts/get_usage.js:43`
Low	依赖版本未锁定 package.json 中 playwright 使用 ^1.40.0 语义版本，允许小版本更新，存在潜在供应链风险。 `"playwright": "^1.40.0"` → 建议锁定为 "playwright": "1.40.0"	`scripts/package.json:14`
Info	localhost 内部通信 notify_usage.js 通过 httpPost() 访问 localhost:37701 的 OpenClaw Gateway API 发送通知，这是 SKILL.md 声明的合法内部通信。 `hostname: 'localhost', port, path, method: 'POST'` → 无需处理	`scripts/notify_usage.js:184`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	scripts/notify_usage.js:263 写入 daily_usage.log
Network	`READ+WRITE`	`READ+WRITE`	✓ Aligned	访问 platform.minimaxi.com + 发送通知到 Discord/Telegram
Shell	`NONE`	`NONE`	—	无 shell 调用
Browser	`WRITE`	`WRITE`	✓ Aligned	使用 Playwright 控制浏览器自动化操作

1 High 9 findings

📡

High IP Address 硬编码 IP 地址

120.0.0.0

scripts/get_usage.js:43

🔗

Medium External URL 外部 URL

https://discord.com/api/webhooks/...

SKILL.md:59

🔗

Medium External URL 外部 URL

https://npmmirror.com/mirrors

references/setup.en.md:35

🔗

Medium External URL 外部 URL

https://discord.com/api/webhooks/xxxxx/yyyyy

references/setup.en.md:102

🔗

Medium External URL 外部 URL

https://api.telegram.org/bot

references/setup.en.md:108

🔗

Medium External URL 外部 URL

https://platform.minimaxi.com/login

references/troubleshooting.md:19

🔗

Medium External URL 外部 URL

https://platform.minimaxi.com/user-center/payment/token-plan

references/troubleshooting.md:113

🔗

Medium External URL 外部 URL

https://discord.com

scripts/notify_usage.js:221

🔗

Medium External URL 外部 URL

https://api.telegram.org/bot$

scripts/notify_usage.js:233

File Tree

9 files · 48.4 KB · 1574 lines

Markdown 6f · 1042L JavaScript 2f · 514L JSON 1f · 18L

├─ ▾ 📁 references

│ ├─ 📝 cron-guide.en.md Markdown 108L · 3.0 KB

│ ├─ 📝 cron-guide.zh.md Markdown 135L · 3.9 KB

│ ├─ 📝 setup.en.md Markdown 166L · 3.6 KB

│ ├─ 📝 setup.zh.md Markdown 165L · 3.8 KB

│ └─ 📝 troubleshooting.md Markdown 222L · 7.0 KB

├─ ▾ 📁 scripts

│ ├─ 📜 get_usage.js JavaScript 244L · 8.3 KB

│ ├─ 📜 notify_usage.js JavaScript 270L · 9.9 KB

│ └─ 📋 package.json JSON 18L · 514 B

└─ 📝 SKILL.md Markdown 246L · 8.4 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`playwright`	`^1.40.0`	npm	No	使用 caret 语义版本，建议锁定主版本

Security Positives

✓ SKILL.md 详尽描述所有功能，无文档-行为差异

✓ 代码开源透明，无阴影功能（隐藏的凭证收割、远程执行等）

✓ 网络请求仅指向声明的合法目标（MiniMax 平台 + 通知渠道）

✓ 使用 Playwright 进行真实的浏览器自动化，非逆向 API

✓ 支持 .clawhubignore 排除 .env 文件

✓ 多渠道通知（QQ/Discord/Telegram）符合声明用途

Scan Report

Findings 3 items

File Tree

Dependencies 1 items

Security Positives