shuzhi-open 安全扫描报告 — 可信 | ClawSafe

5 /100

shuzhi-open

数秦开放平台统一接口封装，支持区块链API服务、自动化取证、保管单组件、电子签章

数秦开放平台 API 封装库，用于区块链存证、自动化取证、保管单和电子签章服务，代码安全合规，无恶意行为。

技能名称shuzhi-open

分析耗时47.4s

引擎pi

✓

可以安装

可直接使用。凭证存储在 config.json 中，建议用户仅在可信环境部署。

安全发现 2 项

严重性	安全发现	位置
低危	文件系统权限未声明代码读取本地 config.json 配置文件和合同文件，但 SKILL.md 中未明确声明 filesystem:READ 权限 `const config = require(configPath);` → 建议在 SKILL.md 中声明读取本地配置文件的能力	`lib/client.js:1`
提示	MD5 回调验签回调验签模块使用 MD5 算法，这是与外部 API 通信的标准方式，无安全风险 `crypto.createHash('md5').update(str).digest('hex')` → 已知晓，这是 API 回调验证的标准做法	`lib/callback.js:28`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`READ`	✓ 一致	lib/client.js:1 读取config.json; scripts/sign/workflow.js:1 读取合同文件
网络访问	`WRITE`	`WRITE`	✓ 一致	lib/client.js:66 使用fetch向API发送POST请求
命令执行	`NONE`	`NONE`	—	代码中无subprocess/exec/spawn调用

3 项发现

🔗

中危外部 URL 外部 URL

https://mobile.yangkeduo.com/goods.html?goods_id=xxx

SKILL.md:153

🔗

中危外部 URL 外部 URL

https://test-apisix-gateway.shuzhi.shuqinkeji.cn

config.json:2

🔗

中危外部 URL 外部 URL

https://api.dataqin.com

references/certificate-api.md:7

目录结构

32 文件 · 141.7 KB · 5212 行

JavaScript 24f · 3387L Markdown 5f · 1674L JSON 3f · 151L

├─ ▾ 📁 lib

│ ├─ ▾ 📁 modules

│ │ ├─ 📜 certificate.js JavaScript 84L · 1.9 KB

│ │ ├─ 📜 chain.js JavaScript 139L · 3.9 KB

│ │ ├─ 📜 evidence.js JavaScript 193L · 4.8 KB

│ │ └─ 📜 sign.js JavaScript 444L · 13.0 KB

│ ├─ 📜 auth.js JavaScript 82L · 2.4 KB

│ ├─ 📜 callback.js JavaScript 86L · 2.2 KB

│ ├─ 📜 client.js JavaScript 174L · 4.3 KB

│ └─ 📜 validate.js JavaScript 162L · 4.9 KB

├─ ▾ 📁 references

│ ├─ 📝 certificate-api.md Markdown 83L · 1.9 KB

│ ├─ 📝 chain-api.md Markdown 215L · 5.3 KB

│ ├─ 📝 evidence-api.md Markdown 174L · 3.6 KB

│ └─ 📝 sign-api.md Markdown 253L · 5.3 KB

├─ ▾ 📁 scripts

│ ├─ ▾ 📁 certificate

│ │ ├─ 📜 create.js JavaScript 68L · 1.7 KB

│ │ ├─ 📜 download.js JavaScript 56L · 1.3 KB

│ │ ├─ 📜 generate-interactive.js JavaScript 248L · 8.5 KB

│ │ ├─ 📜 generate.js JavaScript 104L · 3.3 KB

│ │ └─ 📜 templates.js JavaScript 26L · 732 B

│ ├─ ▾ 📁 chain

│ │ ├─ 📜 query.js JavaScript 74L · 1.9 KB

│ │ └─ 📜 upload.js JavaScript 88L · 2.3 KB

│ ├─ ▾ 📁 evidence

│ │ ├─ 📜 create-task-interactive.js JavaScript 144L · 4.5 KB

│ │ ├─ 📜 create-task.js JavaScript 101L · 2.8 KB

│ │ ├─ 📜 device.js JavaScript 83L · 2.2 KB

│ │ ├─ 📜 download.js JavaScript 59L · 1.4 KB

│ │ └─ 📜 query.js JavaScript 64L · 1.8 KB

│ └─ ▾ 📁 sign

│ ├─ 📜 enterprise.js JavaScript 87L · 2.9 KB

│ ├─ 📜 person.js JavaScript 87L · 2.8 KB

│ ├─ 📜 sign-flow.js JavaScript 196L · 6.1 KB

│ └─ 📜 workflow.js JavaScript 538L · 16.1 KB

├─ 📋 _meta.json JSON 5L · 130 B

├─ 🔑 config.json ⚠ JSON 117L · 3.8 KB

├─ 📋 package.json JSON 29L · 948 B

└─ 📝 SKILL.md Markdown 949L · 23.1 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`node-fetch`	`未检测到（使用原生fetch）`	Node.js 18+ built-in	否	使用 Node.js 原生 fetch API

安全亮点

✓ 使用 HMAC-SHA256 进行请求签名，凭证不外泄

✓ 交互式脚本强调用户确认，防止自动填充敏感信息

✓ 良好的错误处理和输入验证

✓ 代码结构清晰，模块化设计

✓ 无 eval、exec、spawn 等危险函数调用

✓ 无远程脚本下载和执行行为

✓ 无凭证收割或数据外泄行为