felo-superAgent Security Report — Trusted | ClawSafe

5 /100

felo-superAgent

Felo SuperAgent API: AI conversation with real-time SSE streaming on a persistent LiveDoc canvas

Felo SuperAgent 技能是合法的 API 调用封装工具，仅通过 HTTPS 与官方 openapi.felo.ai 通信，无 shell 执行、无文件写入、无凭证收割，README 中的 API_KEY 为占位符文档文本。

Skill Namefelo-superAgent

Duration25.0s

Enginepi

✓

Safe to install

无需干预，可安全使用。

Findings 1 items

Severity	Finding	Location
Low	README 中存在占位符 API Key 示例 README.md 第64行包含 API_KEY="your-api-key-here" 示例，为文档占位符文本而非真实凭证，不会造成安全风险但可能引起误解。 `export FELO_API_KEY="your-api-key-here"` → 建议将示例值改为 <YOUR_API_KEY> 或其他明显占位符格式，避免使用引号包裹的可疑占位符	`README.md:64`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`NONE`	—	两脚本均无任何 fs 调用
Network	`READ`	`READ`	✓ Aligned	仅向 openapi.felo.ai 发起 HTTPS 请求
Shell	`NONE`	`NONE`	—	无 subprocess/exec/spawn 调用
Environment	`READ`	`READ`	✓ Aligned	仅读取 FELO_API_KEY，不遍历其他环境变量
Skill Invoke	`NONE`	`NONE`	—	无 skill_invoke 能力
Clipboard	`NONE`	`NONE`	—	无剪贴板操作
Browser	`NONE`	`NONE`	—	无浏览器自动化
Database	`NONE`	`NONE`	—	无数据库操作

1 High 7 findings

🔑

High API Key 疑似硬编码凭证

API_KEY="your-api-key-here"

README.md:64

🔗

Medium External URL 外部 URL

https://felo.ai/livedoc/...

README.md:266

🔗

Medium External URL 外部 URL

https://custom-api.example.com

README.md:376

🔗

Medium External URL 外部 URL

https://openapi.felo.ai/docs/api-reference/v2/superagent.html

README.md:394

🔗

Medium External URL 外部 URL

https://openapi.felo.ai/docs/

README.md:395

🔗

Medium External URL 外部 URL

https://felo.ai/livedoc/QPetunwpGnkKuZHStP7gwt

SKILL.md:375

🔗

Medium External URL 外部 URL

https://openapi.felo.ai

SKILL.md:644

File Tree

6 files · 77.7 KB · 2010 lines

Markdown 2f · 1208L JavaScript 2f · 784L JSON 2f · 18L

├─ ▾ 📁 scripts

│ ├─ 📜 run_style_library.mjs JavaScript 213L · 6.5 KB

│ └─ 📜 run_superagent.mjs JavaScript 571L · 20.4 KB

├─ 📋 _meta.json JSON 5L · 134 B

├─ 📋 clawhub.json JSON 13L · 793 B

├─ 📝 README.md Markdown 398L · 12.7 KB

└─ 📝 SKILL.md Markdown 810L · 37.2 KB

Security Positives

✓ 无 shell 执行命令

✓ 无 subprocess/exec/spawn 等危险系统调用

✓ 无文件写入或文件系统操作

✓ 无凭证收割行为（不遍历 os.environ/env）

✓ 无 base64 解码或 eval 动态执行

✓ 无数据外泄行为

✓ 仅依赖原生 fetch API 进行 HTTPS 通信

✓ JSON 解析安全（使用 try/catch）

✓ 所有网络请求目标为官方域名 openapi.felo.ai

✓ 技能依赖 felo-livedoc（同行工具，无高危行为）

Scan Report

Findings 1 items

File Tree

Security Positives