shuzhi-open 安全扫描报告 — 可信 | ClawSafe

5 /100

shuzhi-open

数秦开放平台统一接口封装，支持区块链API服务、自动化取证、保管单组件、电子签章

数秦开放平台统一接口封装，为合法区块链存证、自动化取证、电子签章业务工具，代码质量良好，无恶意行为发现。

技能名称shuzhi-open

分析耗时48.5s

引擎pi

✓

可以安装

该技能可安全使用，遵循了合法业务工具的安全编码规范。

安全发现 3 项

严重性	安全发现	位置
低危	配置文件包含敏感信息 config.json需要存储appKey和appSecret，属于正常业务需要但包含凭证信息 `"appKey": "", "appSecret": ""` → 建议用户仅在本地环境使用，避免提交到公共代码仓库	`config.json:1`
提示	文档完整性优秀 SKILL.md提供了详尽的交互式工作流程说明，包括必须询问用户的问题列表和禁止行为说明 `所有不确定的信息必须询问用户，禁止自动填充任何未确认的字段` → 继续保持此类安全编码实践	`SKILL.md:1`
提示	认证机制安全使用HMAC-SHA256签名进行API认证，符合行业安全标准 `signRequest使用HMAC-SHA256-HEX(appSecret, signingString)` → 继续保持此类安全实践	`lib/auth.js:1`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	SKILL.md声明读取配置和合同文件，实际代码仅使用require读取config.json和fs.readFileSync读取合同
网络访问	`WRITE`	`WRITE`	✓ 一致	SKILL.md声明调用区块链API、取证API、签章API，实际使用fetch向baseUrl发送POST请求
命令执行	`NONE`	`NONE`	—	代码仅使用node运行，无任何subprocess或bash调用
环境变量	`NONE`	`NONE`	—	代码不使用process.env遍历或敏感关键字匹配
剪贴板	`NONE`	`NONE`	—	无剪贴板相关代码
浏览器	`NONE`	`NONE`	—	无浏览器自动化代码，仅通过API进行取证

3 项发现

🔗

中危外部 URL 外部 URL

https://mobile.yangkeduo.com/goods.html?goods_id=xxx

SKILL.md:153

🔗

中危外部 URL 外部 URL

https://test-apisix-gateway.shuzhi.shuqinkeji.cn

config.json:2

🔗

中危外部 URL 外部 URL

https://api.dataqin.com

references/certificate-api.md:7

目录结构

31 文件 · 141.6 KB · 5207 行

JavaScript 24f · 3387L Markdown 5f · 1674L JSON 2f · 146L

├─ ▾ 📁 lib

│ ├─ ▾ 📁 modules

│ │ ├─ 📜 certificate.js JavaScript 84L · 1.9 KB

│ │ ├─ 📜 chain.js JavaScript 139L · 3.9 KB

│ │ ├─ 📜 evidence.js JavaScript 193L · 4.8 KB

│ │ └─ 📜 sign.js JavaScript 444L · 13.0 KB

│ ├─ 📜 auth.js JavaScript 82L · 2.4 KB

│ ├─ 📜 callback.js JavaScript 86L · 2.2 KB

│ ├─ 📜 client.js JavaScript 174L · 4.3 KB

│ └─ 📜 validate.js JavaScript 162L · 4.9 KB

├─ ▾ 📁 references

│ ├─ 📝 certificate-api.md Markdown 83L · 1.9 KB

│ ├─ 📝 chain-api.md Markdown 215L · 5.3 KB

│ ├─ 📝 evidence-api.md Markdown 174L · 3.6 KB

│ └─ 📝 sign-api.md Markdown 253L · 5.3 KB

├─ ▾ 📁 scripts

│ ├─ ▾ 📁 certificate

│ │ ├─ 📜 create.js JavaScript 68L · 1.7 KB

│ │ ├─ 📜 download.js JavaScript 56L · 1.3 KB

│ │ ├─ 📜 generate-interactive.js JavaScript 248L · 8.5 KB

│ │ ├─ 📜 generate.js JavaScript 104L · 3.3 KB

│ │ └─ 📜 templates.js JavaScript 26L · 732 B

│ ├─ ▾ 📁 chain

│ │ ├─ 📜 query.js JavaScript 74L · 1.9 KB

│ │ └─ 📜 upload.js JavaScript 88L · 2.3 KB

│ ├─ ▾ 📁 evidence

│ │ ├─ 📜 create-task-interactive.js JavaScript 144L · 4.5 KB

│ │ ├─ 📜 create-task.js JavaScript 101L · 2.8 KB

│ │ ├─ 📜 device.js JavaScript 83L · 2.2 KB

│ │ ├─ 📜 download.js JavaScript 59L · 1.4 KB

│ │ └─ 📜 query.js JavaScript 64L · 1.8 KB

│ └─ ▾ 📁 sign

│ ├─ 📜 enterprise.js JavaScript 87L · 2.9 KB

│ ├─ 📜 person.js JavaScript 87L · 2.8 KB

│ ├─ 📜 sign-flow.js JavaScript 196L · 6.1 KB

│ └─ 📜 workflow.js JavaScript 538L · 16.1 KB

├─ 🔑 config.json ⚠ JSON 117L · 3.8 KB

├─ 📋 package.json JSON 29L · 948 B

└─ 📝 SKILL.md Markdown 949L · 23.1 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`Node.js built-in modules`	`>=18.0.0`	标准库	否	仅使用path、fs、readline、crypto等Node.js内置模块，无外部依赖

安全亮点

✓ 无shell命令执行，无subprocess调用

✓ 无base64编码的远程代码执行

✓ 无环境变量遍历收割敏感信息

✓ 无外部IP网络请求，仅连接声明的API地址

✓ 无敏感路径访问（~/.ssh、~/.aws、.env）

✓ 文档与代码行为完全一致，无阴影功能

✓ 使用标准HTTPS和HMAC-SHA256认证

✓ 详尽的输入校验和错误处理

✓ 交互式流程强调必须询问用户而非自动填充