Name: passive-income-claw Security Report — Trusted | ClawSafe
Item: passive-income-claw
Rating: 100
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

0 /100

passive-income-claw

Binance 被动收益 AI 助手，自动扫描 Earn 机会并在授权范围内执行申购订阅

Binance 被动收益助手，代码完全符合声明功能，使用官方 Binance API，无任何未声明敏感操作，授权机制健全。

Skill Namepassive-income-claw

Duration40.4s

Enginepi

ClawHub Passive Income Claw v0.7.0 by pipi6688

📥 224

ClawHub Verdict Suspicious env_credential_accessllm_suspiciouspotential_exfiltration

✓

Safe to install

可安全安装使用。建议用户在 Binance 创建 API Key 时严格遵循 README 中的最小权限原则（关闭提币/合约权限），并绑定 IP 白名单。

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	SKILL.md 声明使用 Binance 官方 API，lib.ts:8 仅连接 https://api.binance.com
Filesystem	`WRITE`	`WRITE`	✓ Aligned	所有文件操作仅限 ~/passive-income-claw/ 目录（lib.ts:7-9 PROFILE_PATH/SNAPSHOT_PATH/LOG_PAT…
Environment	`READ`	`READ`	✓ Aligned	lib.ts:47 仅读取 process.env.BINANCE_API_KEY 和 BINANCE_API_SECRET
Shell	`NONE`	`NONE`	—	全部 7 个脚本均无 subprocess/spawn/exec 调用
Clipboard	`NONE`	`NONE`	—	无相关代码
Browser	`NONE`	`NONE`	—	无相关代码
Database	`NONE`	`NONE`	—	无相关代码
Skill Invoke	`READ`	`READ`	✓ Aligned	execute.md/scan.md 声明使用 Binance Spot skill 查价格

1 Critical 3 findings

💀

Critical Dangerous Command 危险 Shell 命令

rm -rf ~

README.md:119

🔗

Medium External URL 外部 URL

https://www.binance.com/en/my/settings/api-management

README.md:13

🔗

Medium External URL 外部 URL

https://api.binance.com

bin/lib.ts:8

File Tree

15 files · 54.2 KB · 1612 lines

Markdown 8f · 840L TypeScript 7f · 772L

├─ ▾ 📁 bin

│ ├─ 📜 auth-check.ts TypeScript 17L · 679 B

│ ├─ 📜 earn-api.ts TypeScript 87L · 3.4 KB

│ ├─ 📜 lib.ts TypeScript 365L · 11.8 KB

│ ├─ 📜 log.ts TypeScript 90L · 3.2 KB

│ ├─ 📜 margin-api.ts TypeScript 92L · 3.4 KB

│ ├─ 📜 profile.ts TypeScript 54L · 1.6 KB

│ └─ 📜 snapshot.ts TypeScript 67L · 2.4 KB

├─ ▾ 📁 binance-earn

│ └─ 📝 SKILL.md Markdown 54L · 2.3 KB

├─ 📝 execute.md Markdown 187L · 6.2 KB

├─ 📝 memory-template.md Markdown 21L · 900 B

├─ 📝 path-analysis.md Markdown 145L · 4.9 KB

├─ 📝 README.md Markdown 120L · 3.2 KB

├─ 📝 scan.md Markdown 143L · 4.4 KB

├─ 📝 setup.md Markdown 105L · 3.0 KB

└─ 📝 SKILL.md Markdown 65L · 2.8 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`node:crypto`	`bundled`	Node.js stdlib	No	Node.js 内置模块，无需安装
`node:fs`	`bundled`	Node.js stdlib	No	Node.js 内置模块，无需安装

Security Positives

✓ 文档-行为完全一致，无阴影功能

✓ 所有网络请求仅指向官方 Binance API（https://api.binance.com），无第三方端点

✓ HMAC-SHA256 签名所有敏感请求，凭证不外传

✓ 5 步授权校验机制（execution_enabled、单次限额、日累计限额、操作白名单、资产白名单）

✓ 无 subprocess/shell 执行，无代码注入风险

✓ 无外部脚本下载（pip install 无版本锁定不适用，Node.js 项目无 package.json）

✓ filesystem 操作严格限制在 ~/passive-income-claw/ 目录内

✓ Borrow-to-Earn 有完整安全兜底（margin level 检查、净值计算、失败回滚逻辑）

✓ 环境变量仅读取 BINANCE_API_KEY/SECRET，不遍历 os.environ

✓ README 明确建议关闭提币/合约权限并绑定 IP 白名单

Scan Report

File Tree

Dependencies 2 items

Security Positives