zhuocha 安全扫描报告 — 可信 | ClawSafe

5 /100

zhuocha

招投标重复项目核实助手

招投标重复项目核实工具，仅访问内网数据库（192.168.88.x），无外部网络通信，无敏感文件访问，SQL注入风险低（参数来自内部分组ID），功能与声明一致。

技能名称zhuocha

分析耗时24.3s

引擎pi

✓

可以安装

无需修改，可直接使用。建议对用户输入的 reid 做长度/格式校验以防异常SQL。

安全发现 2 项

严重性	安全发现	位置
低危	SQL 使用 f-string 拼接（轻微） reid 等字段通过 f-string 直接拼入 SQL，存在理论 SQL 注入风险。但 reid 来自内部分组查询结果（非用户直接输入），实际风险极低。 `sql = f"SELECT reid FROM {TABLE_RESULT}"` → 建议改用参数化查询（params 参数），但当前场景下优先级低。	`scripts/zhuocha_finder.py:48,52,71,90`
提示	未使用的状态文件写入路径定义了 STATE_FILE 路径 ~/.openclaw/workspace/.zhuocha_cursor.json，但实际代码中并未写入或读取该文件，属于死代码，无安全影响。 `STATE_FILE = os.path.expanduser("~/.openclaw/workspace/.zhuocha_cursor.json")` → 删除未使用的变量或实现断点续跑功能。	`scripts/zhuocha_finder.py:19`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	scripts/zhuocha_finder.py:21-22 仅POST内网API
命令执行	`NONE`	`NONE`	—	无 subprocess/os.system 调用
文件系统	`NONE`	`READ`	✓ 一致	仅读 ~/.openclaw/workspace/.zhuocha_cursor.json（未实际使用）
环境变量	`NONE`	`NONE`	—	未遍历 os.environ 或访问敏感变量

3 项发现

🔗

中危外部 URL 外部 URL

http://192.168.88.51:6100/insert

SKILL.md:55

🔗

中危外部 URL 外部 URL

http://192.168.88.51:6100/query

scripts/zhuocha_finder.py:21

🔗

中危外部 URL 外部 URL

http://192.168.88.51:5100/query

scripts/zhuocha_finder.py:22

2 文件 · 14.3 KB · 369 行

Python 1f · 225L Markdown 1f · 144L

├─ ▾ 📁 scripts

│ └─ 🐍 zhuocha_finder.py Python 225L · 7.6 KB

└─ 📝 SKILL.md Markdown 144L · 6.8 KB

包名	版本	来源	已知漏洞	备注
`requests`	`*`	pip	否	仅用于HTTP请求，内网调用用urllib也可替代

✓ 仅访问内网私有IP段（192.168.88.x），无外部网络通信

✓ 无 shell/cmd 执行，无远程脚本下载

✓ 未访问任何敏感文件路径（~/.ssh、~/.aws、.env等）

✓ 代码功能与 SKILL.md 文档描述完全一致，无阴影功能

✓ 依赖仅 requests（内置 urllib 可选），无未知第三方依赖

✓ 凭证未外传，所有网络请求均为内网 API 调用