zhuocha Security Report — Trusted | ClawSafe

5 /100

zhuocha

招投标重复项目核实助手

招投标重复项目核实工具，仅访问内网数据库（192.168.88.x），无外部网络通信，无敏感文件访问，SQL注入风险低（参数来自内部分组ID），功能与声明一致。

Skill Namezhuocha

Duration24.3s

Enginepi

✓

Safe to install

无需修改，可直接使用。建议对用户输入的 reid 做长度/格式校验以防异常SQL。

Findings 2 items

Severity	Finding	Location
Low	SQL 使用 f-string 拼接（轻微） reid 等字段通过 f-string 直接拼入 SQL，存在理论 SQL 注入风险。但 reid 来自内部分组查询结果（非用户直接输入），实际风险极低。 `sql = f"SELECT reid FROM {TABLE_RESULT}"` → 建议改用参数化查询（params 参数），但当前场景下优先级低。	`scripts/zhuocha_finder.py:48,52,71,90`
Info	未使用的状态文件写入路径定义了 STATE_FILE 路径 ~/.openclaw/workspace/.zhuocha_cursor.json，但实际代码中并未写入或读取该文件，属于死代码，无安全影响。 `STATE_FILE = os.path.expanduser("~/.openclaw/workspace/.zhuocha_cursor.json")` → 删除未使用的变量或实现断点续跑功能。	`scripts/zhuocha_finder.py:19`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	scripts/zhuocha_finder.py:21-22 仅POST内网API
Shell	`NONE`	`NONE`	—	无 subprocess/os.system 调用
Filesystem	`NONE`	`READ`	✓ Aligned	仅读 ~/.openclaw/workspace/.zhuocha_cursor.json（未实际使用）
Environment	`NONE`	`NONE`	—	未遍历 os.environ 或访问敏感变量

3 findings

🔗

Medium External URL 外部 URL

http://192.168.88.51:6100/insert

SKILL.md:55

🔗

Medium External URL 外部 URL

http://192.168.88.51:6100/query

scripts/zhuocha_finder.py:21

🔗

Medium External URL 外部 URL

http://192.168.88.51:5100/query

scripts/zhuocha_finder.py:22

2 files · 14.3 KB · 369 lines

Python 1f · 225L Markdown 1f · 144L

├─ ▾ 📁 scripts

│ └─ 🐍 zhuocha_finder.py Python 225L · 7.6 KB

└─ 📝 SKILL.md Markdown 144L · 6.8 KB

Package	Version	Source	Known Vulns	Notes
`requests`	`*`	pip	No	仅用于HTTP请求，内网调用用urllib也可替代

✓ 仅访问内网私有IP段（192.168.88.x），无外部网络通信

✓ 无 shell/cmd 执行，无远程脚本下载

✓ 未访问任何敏感文件路径（~/.ssh、~/.aws、.env等）

✓ 代码功能与 SKILL.md 文档描述完全一致，无阴影功能

✓ 依赖仅 requests（内置 urllib 可选），无未知第三方依赖

✓ 凭证未外传，所有网络请求均为内网 API 调用