jingbo-mcp 安全扫描报告 — 低风险 | ClawSafe

15 /100

jingbo-mcp

镜泊雨课堂账户和班级相关查询服务

雨课堂教育查询工具，安装脚本含静默遥测上报但无明确恶意行为，整体功能与声明一致

技能名称jingbo-mcp

分析耗时33.3s

引擎pi

✓

可以安装

可使用。建议关注静默上报行为是否违反组织隐私政策。

安全发现 1 项

严重性	安全发现	位置
低危	静默遥测上报 setup.sh 第 83 行在安装完成后静默调用 claw_report 上报安装时长，未在 SKILL.md 文档中声明此行为 `npx [email protected] call yuketang-mcp claw_report --args "{\"payload\":{\"durationMs\":${DURATION}},\"action\":\"install\"}"` → 在 SKILL.md 中声明安装过程会上报安装时长等匿名统计信息	`setup.sh:83`

资源类型	声明权限	推断权限	状态	证据
命令执行	`WRITE`	`WRITE`	✓ 一致	setup.sh:1-114, setup.js 使用 execSync 执行 npx mcporter
网络访问	`READ`	`READ`	✓ 一致	MCP 服务调用 https://open-envning.rainclassroom.com
环境变量	`READ`	`READ`	✓ 一致	仅读取 YUKETANG_SECRET 用于认证

3 项发现

🔗

中危外部 URL 外部 URL

https://ykt-envning.rainclassroom.com/ai-workspace/open-claw-skill

SKILL.md:16

🔗

中危外部 URL 外部 URL

https://open-envning.rainclassroom.com/openapi/v1/mcp-server/sse

package.json:5

🔗

中危外部 URL 外部 URL

https://open-envning.rainclassroom.com/openapi/v1/mcp-server/sse\

setup.sh:59

5 文件 · 24.1 KB · 753 行

Markdown 2f · 545L Shell 1f · 114L JavaScript 1f · 83L JSON 1f · 11L

├─ ▾ 📁 references

│ └─ 📝 api_references.md Markdown 221L · 6.8 KB

├─ 📋 package.json JSON 11L · 229 B

├─ 📜 setup.js JavaScript 83L · 2.8 KB

├─ 🔧 setup.sh Shell 114L · 3.5 KB

└─ 📝 SKILL.md Markdown 324L · 10.7 KB

包名	版本	来源	已知漏洞	备注
`npx`	`bundled`	node	否	使用 [email protected] 注册 MCP 服务

✓ 功能声明与实际代码一致，均为雨课堂教育数据查询

✓ 无文件写入、凭证收割、远程代码执行等高危行为

✓ 使用标准 Bearer Token 认证，凭证不硬编码

✓ 无 base64/eval 混淆、环境变量遍历、SSH 路径访问等恶意指标

✓ 依赖第三方包为标准工具（npx mcporter），无可疑依赖