fco-monitor 安全扫描报告 — 低风险 | ClawSafe

20 /100

fco-monitor

FC Online官网监控Skill - 自动监控FC Online官网活动，发现新活动时及时通知

FC Online游戏官网监控工具，代码功能与声明基本一致，pre-scan标记的base64解码仅用于数据解析非恶意利用，存在轻微权限声明宽泛和install.sh权限提升问题但整体风险可控。

技能名称fco-monitor

分析耗时38.0s

引擎pi

✓

可以安装

可安全使用。建议：1) SKILL.md中补充声明shell和filesystem:WRITE权限需求；2) 考虑将install.sh中的系统依赖安装和systemd服务创建改为可选或明确提示需要管理员权限。

安全发现 4 项

严重性	安全发现	位置
中危	Base64解码使用 pre-scan标记fco-monitor.sh:202行存在base64 --decode，但经代码审查，这是用于JSON数据解析的base64解码，非恶意代码混淆或执行 `local activity=$(echo "$activity_base64" \| base64 --decode)` → 可接受：用于解析base64编码的activity数据，非恶意用途	`fco-monitor.sh:202`
中危	安装脚本权限提升尝试 install.sh尝试安装系统依赖(yum/apt-get)和创建systemd服务，可能需要管理员权限但未明确声明 `yum install -y "$dep"` → 明确提示用户安装脚本需要管理员权限	`install.sh:26`
低危	权限声明缺失 SKILL.md未明确声明filesystem:WRITE和shell:WRITE权限需求，与实际代码能力不符 `SKILL.md缺少权限声明章节` → 在SKILL.md中添加'权限需求'章节，明确声明需要shell执行和文件写入权限	`SKILL.md:1`
提示	第三方依赖无锁定 package.json中dependencies为空，没有依赖，运行时依赖的系统工具(curl, jq)通过install.sh安装 `"dependencies": {}` → 可接受：核心功能依赖系统自带工具而非npm包	`package.json:1`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	SKILL.md声明访问fco.qq.com，代码中curl访问该URL
文件系统	`NONE`	`WRITE`	✗ 越权	fco-monitor.sh:35 写入/tmp/目录；install.sh:89 写入/root/.openclaw/目录
命令执行	`NONE`	`WRITE`	✗ 越权	openclaw-integration.js:20 使用execSync执行shell命令
环境变量	`NONE`	`NONE`	—	无环境变量访问

1 严重 21 项发现

🔒

严重编码执行 Base64 编码执行（代码混淆）

base64 --decode

fco-monitor.sh:202

🔗

中危外部 URL 外部 URL

https://fco.qq.com/main.shtml

EXAMPLES.md:57

🔗

中危外部 URL 外部 URL

https://fco.qq.com/...

EXAMPLES.md:114

🔗

中危外部 URL 外部 URL

https://discord.com/api/webhooks/...

EXAMPLES.md:208

🔗

中危外部 URL 外部 URL

https://clawhub.com/submit

PUBLISH_TO_SKILLHUB.md:83

🔗

中危外部 URL 外部 URL

https://clawhub.com

PUBLISH_TO_SKILLHUB.md:164

🔗

中危外部 URL 外部 URL

https://clawhub.com/docs/submit

PUBLISH_TO_SKILLHUB.md:165

🔗

中危外部 URL 外部 URL

https://community.openclaw.ai

PUBLISH_TO_SKILLHUB.md:166

🔗

中危外部 URL 外部 URL

https://docs.openclaw.ai

PUBLISH_TO_SKILLHUB.md:169

🔗

中危外部 URL 外部 URL

https://discord.gg/clawd

PUBLISH_TO_SKILLHUB.md:171

🔗

中危外部 URL 外部 URL

https://docs.openclaw.ai/skills/development

PUBLISH_TO_SKILLHUB.md:174

🔗

中危外部 URL 外部 URL

https://docs.openclaw.ai/api

PUBLISH_TO_SKILLHUB.md:176

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/OpenClaw-Skill-blue.svg

README.md:3

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/version-1.0.0-green.svg

README.md:4

🔗

中危外部 URL 外部 URL

https://clawhub.com/skills/fco-monitor

README.md:4

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/license-MIT-blue.svg

README.md:5

🔗

中危外部 URL 外部 URL

https://fco.qq.com

README.md:89

🔗

中危外部 URL 外部 URL

https://api.star-history.com/svg?repos=openclaw/skill-fco-monitor&type=Date

README.md:146

🔗

中危外部 URL 外部 URL

https://star-history.com/#openclaw/skill-fco-monitor&Date

README.md:146

🔗

中危外部 URL 外部 URL

https://fco.qq.com/webplat/info/news_version3/33965/34617/38284/m22646/list_1.shtml

install.sh:142

🔗

中危外部 URL 外部 URL

https://fco.qq.com/main.shtml检查最新活动，如果有新活动则总结关键信息通知用户。

openclaw-integration.js:103

目录结构

9 文件 · 47.4 KB · 1864 行

Markdown 5f · 926L Shell 2f · 626L JavaScript 1f · 259L JSON 1f · 53L

├─ 📝 EXAMPLES.md Markdown 281L · 6.1 KB

├─ 🔧 fco-monitor.sh Shell 341L · 9.2 KB

├─ 🔧 install.sh Shell 285L · 6.7 KB

├─ 📜 openclaw-integration.js JavaScript 259L · 7.5 KB

├─ 📋 package.json JSON 53L · 1.4 KB

├─ 📝 PUBLISH_TO_SKILLHUB.md Markdown 199L · 5.6 KB

├─ 📝 QUICK_START.md Markdown 126L · 2.6 KB

├─ 📝 README.md Markdown 149L · 3.9 KB

└─ 📝 SKILL.md Markdown 171L · 4.4 KB

依赖分析 3 项

包名	版本	来源	已知漏洞	备注
`curl`	`system`	system	否	系统工具，通过install.sh检查安装
`jq`	`system`	system	否	系统工具，通过install.sh检查安装
`node`	`>=14.0.0`	system	否	运行时环境

安全亮点

✓ 代码功能单一明确：仅用于监控FC Online游戏官网活动

✓ 无凭证收割行为

✓ 无数据外传行为

✓ 无远程代码下载执行

✓ 网络请求目标明确（fco.qq.com）

✓ pre-scan标记的base64实为合法数据解析用途