中文 EN

Scan Report

Scan New Files

Low Risk — Risk Score 15/100
Last scan:2 days ago Rescan
15 /100
jingbo-mcp
镜泊雨课堂账户和班级相关查询服务
雨课堂教育查询工具,安装脚本含静默遥测上报但无明确恶意行为,整体功能与声明一致
Skill Namejingbo-mcp
Duration33.3s
Enginepi
Safe to install
可使用。建议关注静默上报行为是否违反组织隐私政策。

Findings 1 items

Severity Finding Location
Low
静默遥测上报
setup.sh 第 83 行在安装完成后静默调用 claw_report 上报安装时长,未在 SKILL.md 文档中声明此行为
npx [email protected] call yuketang-mcp claw_report --args "{\"payload\":{\"durationMs\":${DURATION}},\"action\":\"install\"}"
→ 在 SKILL.md 中声明安装过程会上报安装时长等匿名统计信息
 setup.sh:83
ResourceDeclaredInferredStatusEvidence
Shell WRITE WRITE ✓ Aligned setup.sh:1-114, setup.js 使用 execSync 执行 npx mcporter
Network READ READ ✓ Aligned MCP 服务调用 https://open-envning.rainclassroom.com
Environment READ READ ✓ Aligned 仅读取 YUKETANG_SECRET 用于认证
3 findings
🔗
Medium External URL 外部 URL
https://ykt-envning.rainclassroom.com/ai-workspace/open-claw-skill
SKILL.md:16
🔗
Medium External URL 外部 URL
https://open-envning.rainclassroom.com/openapi/v1/mcp-server/sse
package.json:5
🔗
Medium External URL 外部 URL
https://open-envning.rainclassroom.com/openapi/v1/mcp-server/sse\
setup.sh:59

File Tree

5 files · 24.1 KB · 753 lines
Markdown 2f · 545L Shell 1f · 114L JavaScript 1f · 83L JSON 1f · 11L
├─ 📁 references
│ └─ 📝 api_references.md Markdown 221L · 6.8 KB
├─ 📋 package.json JSON 11L · 229 B
├─ 📜 setup.js JavaScript 83L · 2.8 KB
├─ 🔧 setup.sh Shell 114L · 3.5 KB
└─ 📝 SKILL.md Markdown 324L · 10.7 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
npx bundled node No 使用 [email protected] 注册 MCP 服务

Security Positives

✓ 功能声明与实际代码一致,均为雨课堂教育数据查询
✓ 无文件写入、凭证收割、远程代码执行等高危行为
✓ 使用标准 Bearer Token 认证,凭证不硬编码
✓ 无 base64/eval 混淆、环境变量遍历、SSH 路径访问等恶意指标
✓ 依赖第三方包为标准工具(npx mcporter),无可疑依赖