Name: inflynce-create-campaign Security Report — Low Risk | ClawSafe
Item: inflynce-create-campaign
Rating: 85
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

15 /100

inflynce-create-campaign

Create and launch Inflynce Boost campaigns to promote any https link by paying USDC rewards to real users on Base

合法的 Inflynce Boost 营销技能，代码功能与文档声明一致，私钥仅用于本地签名交易，无恶意行为发现

Skill Nameinflynce-create-campaign

Duration45.3s

Enginepi

ClawHub Inflynce Campaign v1.0.0 by inflynceprotocol

📥 170

ClawHub Verdict Suspicious dangerous_execenv_credential_accessvt_suspicious

✓

Safe to install

可安全使用，但需提醒用户：仅在必要时提供 PRIVATE_KEY，优先使用 web UI 进行支付操作，避免在日志中暴露私钥

Findings 2 items

Severity	Finding	Location
Medium	私钥处理需谨慎 Credential Theft pay_fee.js 和 top_up.js 需要 PRIVATE_KEY 来签名真实的 Base 链上交易。代码仅本地使用私钥签名，但若 Agent 环境日志或内存被监控，私钥可能泄露 const account = privateKeyToAccount(privateKey.startsWith('0x') ? privateKey : `0x${privateKey}`); → 文档已建议优先使用 web UI 操作；如使用脚本，确保运行环境安全，避免日志输出私钥	`scripts/pay_fee.js:28`
Low	环境变量访问 Sensitive Access 脚本访问 GRAPHQL_URL 和 PRIVATE_KEY 环境变量 `const graphqlUrl = params.graphql_url \|\| process.env.GRAPHQL_URL;` → 已正确使用，GRAPHQL_URL 有严格的白名单验证	`scripts/create_campaign.js:60`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	scripts/create_campaign.js:103 调用 GraphQL API
Shell	`NONE`	`WRITE`	✓ Aligned	pay_fee.js/top_up.js 使用 viem 签署链上交易（非 shell 执行）

17 findings

🔗

Medium External URL 外部 URL

https://boost.inflynce.com/api/graphql

SKILL.md:6

🔗

Medium External URL 外部 URL

https://boost.inflynce.com

SKILL.md:8

🔗

Medium External URL 外部 URL

https://mainnet.base.org

SKILL.md:48

💰

Medium Wallet Address 加密货币钱包地址

0xA61529732F4E71ef1586252dDC97202Ce198A38A

SKILL.md:63

💰

Medium Wallet Address 加密货币钱包地址

0x833589fCD6eDb6E08f4c7C32D4f71b54bdA02913

SKILL.md:64

💰

Medium Wallet Address 加密货币钱包地址

0x6e6A6128bB0c175989066eb0e2bf54F06688207b

SKILL.md:65

🔗

Medium External URL 外部 URL

https://x.com/user/status/123

SKILL.md:88

🔗

Medium External URL 外部 URL

https://x.com/...

SKILL.md:123

🔗

Medium External URL 外部 URL

https://twitter.com/...

SKILL.md:123

🔗

Medium External URL 外部 URL

https://warpcast.com/~/casts/0x...

SKILL.md:125

🔗

Medium External URL 外部 URL

https://paulmillr.com/funding/

package-lock.json:30

💰

Medium Wallet Address 加密货币钱包地址

0x0000000000000000000000000000000000000001

test/create_campaign.test.js:42

🔗

Medium External URL 外部 URL

https://warpcast.com/~/casts/$

test/create_campaign.test.js:69

🔗

Medium External URL 外部 URL

https://x.com/user/1

test/create_campaign.test.js:88

🔗

Medium External URL 外部 URL

https://evil.com/graphql

test/create_campaign.test.js:120

🔗

Medium External URL 外部 URL

http://boost.inflynce.com/api/graphql

test/create_campaign.test.js:132

🔗

Medium External URL 外部 URL

https://evil.boost.inflynce.com/api/graphql

test/create_campaign.test.js:156

File Tree

8 files · 39.8 KB · 1100 lines

JavaScript 4f · 469L JSON 3f · 382L Markdown 1f · 249L

├─ ▾ 📁 scripts

│ ├─ 📜 create_campaign.js JavaScript 152L · 4.5 KB

│ ├─ 📜 pay_fee.js JavaScript 63L · 1.9 KB

│ └─ 📜 top_up.js JavaScript 68L · 2.0 KB

├─ ▾ 📁 test

│ └─ 📜 create_campaign.test.js JavaScript 186L · 6.3 KB

├─ 📋 clawhub.json JSON 13L · 681 B

├─ 📋 package-lock.json JSON 355L · 11.8 KB

├─ 📋 package.json JSON 14L · 544 B

└─ 📝 SKILL.md Markdown 249L · 12.1 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`viem`	`^2.0.0`	npm	No	主流以太坊开发库，有版本锁定
`ethereum-cryptography`	`^2.0.0`	npm	No	标准加密库，keccak256 用于 URL 哈希

Security Positives

✓ GraphQL URL 白名单验证：仅允许 boost.inflynce.com 域名

✓ 文档详细说明所有功能，无阴影行为

✓ 依赖库有版本锁定（viem ^2.0.0, ethereum-cryptography ^2.0.0）

✓ 提供 dry-run 模式验证参数而不实际执行

✓ 代码结构清晰，使用标准 viem 库进行链上操作

✓ 私钥仅用于本地签名，不外传

Scan Report

Findings 2 items

File Tree

Dependencies 2 items

Security Positives