Name: inflynce-create-campaign 安全扫描报告 — 低风险 | ClawSafe
Item: inflynce-create-campaign
Rating: 85
Author: ClawSafe

15 /100

inflynce-create-campaign

Create and launch Inflynce Boost campaigns to promote any https link by paying USDC rewards to real users on Base

合法的 Inflynce Boost 营销技能，代码功能与文档声明一致，私钥仅用于本地签名交易，无恶意行为发现

技能名称inflynce-create-campaign

分析耗时45.3s

引擎pi

ClawHub Inflynce Campaign v1.0.0 by inflynceprotocol

📥 170

ClawHub 判定可疑 dangerous_execenv_credential_accessvt_suspicious

✓

可以安装

可安全使用，但需提醒用户：仅在必要时提供 PRIVATE_KEY，优先使用 web UI 进行支付操作，避免在日志中暴露私钥

安全发现 2 项

严重性	安全发现	位置
中危	私钥处理需谨慎凭证窃取 pay_fee.js 和 top_up.js 需要 PRIVATE_KEY 来签名真实的 Base 链上交易。代码仅本地使用私钥签名，但若 Agent 环境日志或内存被监控，私钥可能泄露 const account = privateKeyToAccount(privateKey.startsWith('0x') ? privateKey : `0x${privateKey}`); → 文档已建议优先使用 web UI 操作；如使用脚本，确保运行环境安全，避免日志输出私钥	`scripts/pay_fee.js:28`
低危	环境变量访问敏感访问脚本访问 GRAPHQL_URL 和 PRIVATE_KEY 环境变量 `const graphqlUrl = params.graphql_url \|\| process.env.GRAPHQL_URL;` → 已正确使用，GRAPHQL_URL 有严格的白名单验证	`scripts/create_campaign.js:60`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	scripts/create_campaign.js:103 调用 GraphQL API
命令执行	`NONE`	`WRITE`	✓ 一致	pay_fee.js/top_up.js 使用 viem 签署链上交易（非 shell 执行）

17 项发现

🔗

中危外部 URL 外部 URL

https://boost.inflynce.com/api/graphql

SKILL.md:6

🔗

中危外部 URL 外部 URL

https://boost.inflynce.com

SKILL.md:8

🔗

中危外部 URL 外部 URL

https://mainnet.base.org

SKILL.md:48

💰

中危钱包地址加密货币钱包地址

0xA61529732F4E71ef1586252dDC97202Ce198A38A

SKILL.md:63

💰

中危钱包地址加密货币钱包地址

0x833589fCD6eDb6E08f4c7C32D4f71b54bdA02913

SKILL.md:64

💰

中危钱包地址加密货币钱包地址

0x6e6A6128bB0c175989066eb0e2bf54F06688207b

SKILL.md:65

🔗

中危外部 URL 外部 URL

https://x.com/user/status/123

SKILL.md:88

🔗

中危外部 URL 外部 URL

https://x.com/...

SKILL.md:123

🔗

中危外部 URL 外部 URL

https://twitter.com/...

SKILL.md:123

🔗

中危外部 URL 外部 URL

https://warpcast.com/~/casts/0x...

SKILL.md:125

🔗

中危外部 URL 外部 URL

https://paulmillr.com/funding/

package-lock.json:30

💰

中危钱包地址加密货币钱包地址

0x0000000000000000000000000000000000000001

test/create_campaign.test.js:42

🔗

中危外部 URL 外部 URL

https://warpcast.com/~/casts/$

test/create_campaign.test.js:69

🔗

中危外部 URL 外部 URL

https://x.com/user/1

test/create_campaign.test.js:88

🔗

中危外部 URL 外部 URL

https://evil.com/graphql

test/create_campaign.test.js:120

🔗

中危外部 URL 外部 URL

http://boost.inflynce.com/api/graphql

test/create_campaign.test.js:132

🔗

中危外部 URL 外部 URL

https://evil.boost.inflynce.com/api/graphql

test/create_campaign.test.js:156

目录结构

8 文件 · 39.8 KB · 1100 行

JavaScript 4f · 469L JSON 3f · 382L Markdown 1f · 249L

├─ ▾ 📁 scripts

│ ├─ 📜 create_campaign.js JavaScript 152L · 4.5 KB

│ ├─ 📜 pay_fee.js JavaScript 63L · 1.9 KB

│ └─ 📜 top_up.js JavaScript 68L · 2.0 KB

├─ ▾ 📁 test

│ └─ 📜 create_campaign.test.js JavaScript 186L · 6.3 KB

├─ 📋 clawhub.json JSON 13L · 681 B

├─ 📋 package-lock.json JSON 355L · 11.8 KB

├─ 📋 package.json JSON 14L · 544 B

└─ 📝 SKILL.md Markdown 249L · 12.1 KB

依赖分析 2 项

包名	版本	来源	已知漏洞	备注
`viem`	`^2.0.0`	npm	否	主流以太坊开发库，有版本锁定
`ethereum-cryptography`	`^2.0.0`	npm	否	标准加密库，keccak256 用于 URL 哈希

安全亮点

✓ GraphQL URL 白名单验证：仅允许 boost.inflynce.com 域名

✓ 文档详细说明所有功能，无阴影行为

✓ 依赖库有版本锁定（viem ^2.0.0, ethereum-cryptography ^2.0.0）

✓ 提供 dry-run 模式验证参数而不实际执行

✓ 代码结构清晰，使用标准 viem 库进行链上操作

✓ 私钥仅用于本地签名，不外传