中文 EN

Scan Report

Scan New Files

Low Risk — Risk Score 20/100
Last scan:2 days ago Rescan
20 /100
fco-monitor
FC Online官网监控Skill - 自动监控FC Online官网活动,发现新活动时及时通知
FC Online游戏官网监控工具,代码功能与声明基本一致,pre-scan标记的base64解码仅用于数据解析非恶意利用,存在轻微权限声明宽泛和install.sh权限提升问题但整体风险可控。
Skill Namefco-monitor
Duration38.0s
Enginepi
Safe to install
可安全使用。建议:1) SKILL.md中补充声明shell和filesystem:WRITE权限需求;2) 考虑将install.sh中的系统依赖安装和systemd服务创建改为可选或明确提示需要管理员权限。

Findings 4 items

Severity Finding Location
Medium
Base64解码使用
pre-scan标记fco-monitor.sh:202行存在base64 --decode,但经代码审查,这是用于JSON数据解析的base64解码,非恶意代码混淆或执行
local activity=$(echo "$activity_base64" | base64 --decode)
→ 可接受:用于解析base64编码的activity数据,非恶意用途
 fco-monitor.sh:202
Medium
安装脚本权限提升尝试
install.sh尝试安装系统依赖(yum/apt-get)和创建systemd服务,可能需要管理员权限但未明确声明
yum install -y "$dep"
→ 明确提示用户安装脚本需要管理员权限
 install.sh:26
Low
权限声明缺失
SKILL.md未明确声明filesystem:WRITE和shell:WRITE权限需求,与实际代码能力不符
SKILL.md缺少权限声明章节
→ 在SKILL.md中添加'权限需求'章节,明确声明需要shell执行和文件写入权限
 SKILL.md:1
Info
第三方依赖无锁定
package.json中dependencies为空,没有依赖,运行时依赖的系统工具(curl, jq)通过install.sh安装
"dependencies": {}
→ 可接受:核心功能依赖系统自带工具而非npm包
 package.json:1
ResourceDeclaredInferredStatusEvidence
Network READ READ ✓ Aligned SKILL.md声明访问fco.qq.com,代码中curl访问该URL
Filesystem NONE WRITE ✗ Violation fco-monitor.sh:35 写入/tmp/目录;install.sh:89 写入/root/.openclaw/目录
Shell NONE WRITE ✗ Violation openclaw-integration.js:20 使用execSync执行shell命令
Environment NONE NONE 无环境变量访问
1 Critical 21 findings
🔒
Critical Encoded Execution Base64 编码执行(代码混淆)
base64 --decode
fco-monitor.sh:202
🔗
Medium External URL 外部 URL
https://fco.qq.com/main.shtml
EXAMPLES.md:57
🔗
Medium External URL 外部 URL
https://fco.qq.com/...
EXAMPLES.md:114
🔗
Medium External URL 外部 URL
https://discord.com/api/webhooks/...
EXAMPLES.md:208
🔗
Medium External URL 外部 URL
https://clawhub.com/submit
PUBLISH_TO_SKILLHUB.md:83
🔗
Medium External URL 外部 URL
https://clawhub.com
PUBLISH_TO_SKILLHUB.md:164
🔗
Medium External URL 外部 URL
https://clawhub.com/docs/submit
PUBLISH_TO_SKILLHUB.md:165
🔗
Medium External URL 外部 URL
https://community.openclaw.ai
PUBLISH_TO_SKILLHUB.md:166
🔗
Medium External URL 外部 URL
https://docs.openclaw.ai
PUBLISH_TO_SKILLHUB.md:169
🔗
Medium External URL 外部 URL
https://discord.gg/clawd
PUBLISH_TO_SKILLHUB.md:171
🔗
Medium External URL 外部 URL
https://docs.openclaw.ai/skills/development
PUBLISH_TO_SKILLHUB.md:174
🔗
Medium External URL 外部 URL
https://docs.openclaw.ai/api
PUBLISH_TO_SKILLHUB.md:176
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/OpenClaw-Skill-blue.svg
README.md:3
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/version-1.0.0-green.svg
README.md:4
🔗
Medium External URL 外部 URL
https://clawhub.com/skills/fco-monitor
README.md:4
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/license-MIT-blue.svg
README.md:5
🔗
Medium External URL 外部 URL
https://fco.qq.com
README.md:89
🔗
Medium External URL 外部 URL
https://api.star-history.com/svg?repos=openclaw/skill-fco-monitor&type=Date
README.md:146
🔗
Medium External URL 外部 URL
https://star-history.com/#openclaw/skill-fco-monitor&Date
README.md:146
🔗
Medium External URL 外部 URL
https://fco.qq.com/webplat/info/news_version3/33965/34617/38284/m22646/list_1.shtml
install.sh:142
🔗
Medium External URL 外部 URL
https://fco.qq.com/main.shtml检查最新活动,如果有新活动则总结关键信息通知用户。
openclaw-integration.js:103

File Tree

9 files · 47.4 KB · 1864 lines
Markdown 5f · 926L Shell 2f · 626L JavaScript 1f · 259L JSON 1f · 53L
├─ 📝 EXAMPLES.md Markdown 281L · 6.1 KB
├─ 🔧 fco-monitor.sh Shell 341L · 9.2 KB
├─ 🔧 install.sh Shell 285L · 6.7 KB
├─ 📜 openclaw-integration.js JavaScript 259L · 7.5 KB
├─ 📋 package.json JSON 53L · 1.4 KB
├─ 📝 PUBLISH_TO_SKILLHUB.md Markdown 199L · 5.6 KB
├─ 📝 QUICK_START.md Markdown 126L · 2.6 KB
├─ 📝 README.md Markdown 149L · 3.9 KB
└─ 📝 SKILL.md Markdown 171L · 4.4 KB

Dependencies 3 items

PackageVersionSourceKnown VulnsNotes
curl system system No 系统工具,通过install.sh检查安装
jq system system No 系统工具,通过install.sh检查安装
node >=14.0.0 system No 运行时环境

Security Positives

✓ 代码功能单一明确:仅用于监控FC Online游戏官网活动
✓ 无凭证收割行为
✓ 无数据外传行为
✓ 无远程代码下载执行
✓ 网络请求目标明确(fco.qq.com)
✓ pre-scan标记的base64实为合法数据解析用途