hubstudio-openapi Security Report — Low Risk | ClawSafe

22 /100

hubstudio-openapi

HubStudio OpenAPI skill for full endpoint lookup, request/response field explanation, and parameter constraint checking

合法的 HubStudio 浏览器自动化 API 封装工具，所有网络通信仅指向本地服务 127.0.0.1:6873，无凭证收割、远程执行或数据外泄行为。playwright demo 脚本未在文档中声明，构成轻微文档-行为差异。

Skill Namehubstudio-openapi

Duration72.3s

Enginepi

✓

Safe to install

将 playwright_hubstudio_baidu_demo.js 纳入 SKILL.md Resources 章节声明；将 ADB_CONNECTION_GUIDE.md 中引用的 adbEnable/adbInfo 命令与 hubstudio.js 实际命令对齐；考虑为 package.json 依赖添加版本锁定。可信使用。

Findings 4 items

Severity	Finding	Location
Low	playwright demo 脚本未在文档中声明 Doc Mismatch playwright_hubstudio_baidu_demo.js 存在于项目根目录但未在 SKILL.md 的 Resources 或任何章节中提及，构成阴影功能。 `#!/usr/bin/env node / const { execSync } = require('child_process')` → 在 SKILL.md Resources 章节中添加 playwright_hubstudio_baidu_demo.js 的说明，或将其移入 scripts/ 目录并在文档中声明	`playwright_hubstudio_baidu_demo.js:1`
Low	ADB 指南引用不存在的命令 Doc Mismatch ADB_CONNECTION_GUIDE.md 第 16-17 行引用 node hubstudio.js adbEnable 和 adbInfo 命令，但 hubstudio.js 和 commands.generated.json 中均无此命令。 `node hubstudio.js adbEnable <mobileId>` → 更正为实际存在的命令名称，或确认命令是否应被添加	`ADB_CONNECTION_GUIDE.md:16`
Info	package.json 依赖无版本锁定 Supply Chain package.json 中 playwright 等关键依赖未指定版本号（显示为），存在供应链风险。 `"playwright": ""` → 为所有依赖添加精确版本号或使用锁文件策略	`package.json:1`
Info	172.31.255.255 为内网 IP 段示例 Sensitive Access reference.md:1514 中的 172.31.255.255 是 webRtcLocalIp 参数的内网 IP 范围说明，非实际 IOC。 `172.16.0.0 - 172.31.255.255` → 无需操作，属于正常 API 规范文档	`reference.md:1514`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`WRITE`	✓ Aligned	playwright_hubstudio_baidu_demo.js:99 writes summary_hubstudio_baidu_playwright.…
Network	`READ`	`READ`	✓ Aligned	所有 HTTP 请求均发往 http://127.0.0.1:6873，无外部网络
Shell	`NONE`	`WRITE`	✓ Aligned	playwright_hubstudio_baidu_demo.js:17 使用 child_process.execSync
Environment	`READ`	`READ`	✓ Aligned	hubstudio.js:7 读取 HUBSTUDIO_BASE_URL；playwright demo:11 读取 CONTAINER_CODE
Skill Invoke	`READ`	`READ`	✓ Aligned	通过 hubstudio.js CLI 间接调用 HubStudio API

1 High 8 findings

📡

High IP Address 硬编码 IP 地址

172.31.255.255

reference.md:1514

🔗

Medium External URL 外部 URL

http://127.0.0.1:6873

ADB_CONNECTION_GUIDE.md:12

🔗

Medium External URL 外部 URL

https://docs.openclaw.ai/start/getting-started

OPENCLAW_AGENT_BROWSER_TUTORIAL.md:20

🔗

Medium External URL 外部 URL

https://api-docs.hubstudio.cn/

OPENCLAW_AGENT_BROWSER_TUTORIAL.md:21

🔗

Medium External URL 外部 URL

https://www.baidu.com/s?wd=HubStudio

OPENCLAW_AGENT_BROWSER_TUTORIAL.md:470

🔗

Medium External URL 外部 URL

http://127.0.0.1:6873/api/v1/browser/all-browser-status

SKILL.md:56

🔗

Medium External URL 外部 URL

http://127.0.0.1:6873/api/v1/browser/start

SKILL.md:150

🔗

Medium External URL 外部 URL

http://127.0.0.1:6873/api/v1/browser/stop

SKILL.md:155

File Tree

10 files · 148.0 KB · 4259 lines

Markdown 5f · 3168L JSON 3f · 709L JavaScript 2f · 382L

├─ 📝 ADB_CONNECTION_GUIDE.md Markdown 151L · 2.9 KB

├─ 📋 commands.generated.json JSON 633L · 16.2 KB

├─ 📜 hubstudio.js JavaScript 272L · 8.0 KB

├─ 📝 OPENCLAW_AGENT_BROWSER_TUTORIAL.md Markdown 609L · 15.4 KB

├─ 📋 package-lock.json JSON 60L · 1.7 KB

├─ 📋 package.json JSON 16L · 265 B

├─ 📜 playwright_hubstudio_baidu_demo.js JavaScript 110L · 4.0 KB

├─ 📝 README.md Markdown 277L · 6.3 KB

├─ 📝 reference.md Markdown 1819L · 85.8 KB

└─ 📝 SKILL.md Markdown 312L · 7.5 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`playwright`	`*`	npm	No	无版本锁定
`fetch`	`bundled`	Node.js 18+	No	Node.js 内置

Security Positives

✓ 所有外部网络通信仅指向本地 127.0.0.1:6873（HubStudio 本地服务），无外部 IP 连接

✓ hubstudio.js 为纯 API 封装，无 shell 执行、凭证收割或数据外泄

✓ 无 base64/bash 管道、eval 动态执行等混淆技术

✓ 无 ~/.ssh、~/.aws、.env 等敏感路径访问

✓ 无反向 shell、C2 通信或远程代码执行

✓ skill 用途明确（HubStudio API 封装），符合声明能力

Scan Report

Findings 4 items

File Tree

Dependencies 2 items

Security Positives