中文 EN

扫描报告

扫描新文件

可信 — 风险评分 0/100
上次扫描:5 小时前 重新扫描
0 /100
passive-income-claw
Binance 被动收益 AI 助手,自动扫描 Earn 机会并在授权范围内执行申购订阅
Binance 被动收益助手,代码完全符合声明功能,使用官方 Binance API,无任何未声明敏感操作,授权机制健全。
技能名称passive-income-claw
分析耗时40.4s
引擎pi
ClawHub Passive Income Claw v0.7.0 by pipi6688
📥 224
ClawHub 判定 可疑 env_credential_accessllm_suspiciouspotential_exfiltration
可以安装
可安全安装使用。建议用户在 Binance 创建 API Key 时严格遵循 README 中的最小权限原则(关闭提币/合约权限),并绑定 IP 白名单。
资源类型声明权限推断权限状态证据
网络访问 READ READ ✓ 一致 SKILL.md 声明使用 Binance 官方 API,lib.ts:8 仅连接 https://api.binance.com
文件系统 WRITE WRITE ✓ 一致 所有文件操作仅限 ~/passive-income-claw/ 目录(lib.ts:7-9 PROFILE_PATH/SNAPSHOT_PATH/LOG_PAT…
环境变量 READ READ ✓ 一致 lib.ts:47 仅读取 process.env.BINANCE_API_KEY 和 BINANCE_API_SECRET
命令执行 NONE NONE 全部 7 个脚本均无 subprocess/spawn/exec 调用
剪贴板 NONE NONE 无相关代码
浏览器 NONE NONE 无相关代码
数据库 NONE NONE 无相关代码
技能调用 READ READ ✓ 一致 execute.md/scan.md 声明使用 Binance Spot skill 查价格
1 严重 3 项发现
💀
严重 危险命令 危险 Shell 命令
rm -rf ~
README.md:119
🔗
中危 外部 URL 外部 URL
https://www.binance.com/en/my/settings/api-management
README.md:13
🔗
中危 外部 URL 外部 URL
https://api.binance.com
bin/lib.ts:8

目录结构

15 文件 · 54.2 KB · 1612 行
Markdown 8f · 840L TypeScript 7f · 772L
├─ 📁 bin
│ ├─ 📜 auth-check.ts TypeScript 17L · 679 B
│ ├─ 📜 earn-api.ts TypeScript 87L · 3.4 KB
│ ├─ 📜 lib.ts TypeScript 365L · 11.8 KB
│ ├─ 📜 log.ts TypeScript 90L · 3.2 KB
│ ├─ 📜 margin-api.ts TypeScript 92L · 3.4 KB
│ ├─ 📜 profile.ts TypeScript 54L · 1.6 KB
│ └─ 📜 snapshot.ts TypeScript 67L · 2.4 KB
├─ 📁 binance-earn
│ └─ 📝 SKILL.md Markdown 54L · 2.3 KB
├─ 📝 execute.md Markdown 187L · 6.2 KB
├─ 📝 memory-template.md Markdown 21L · 900 B
├─ 📝 path-analysis.md Markdown 145L · 4.9 KB
├─ 📝 README.md Markdown 120L · 3.2 KB
├─ 📝 scan.md Markdown 143L · 4.4 KB
├─ 📝 setup.md Markdown 105L · 3.0 KB
└─ 📝 SKILL.md Markdown 65L · 2.8 KB

依赖分析 2 项

包名版本来源已知漏洞备注
node:crypto bundled Node.js stdlib Node.js 内置模块,无需安装
node:fs bundled Node.js stdlib Node.js 内置模块,无需安装

安全亮点

✓ 文档-行为完全一致,无阴影功能
✓ 所有网络请求仅指向官方 Binance API(https://api.binance.com),无第三方端点
✓ HMAC-SHA256 签名所有敏感请求,凭证不外传
✓ 5 步授权校验机制(execution_enabled、单次限额、日累计限额、操作白名单、资产白名单)
✓ 无 subprocess/shell 执行,无代码注入风险
✓ 无外部脚本下载(pip install 无版本锁定不适用,Node.js 项目无 package.json)
✓ filesystem 操作严格限制在 ~/passive-income-claw/ 目录内
✓ Borrow-to-Earn 有完整安全兜底(margin level 检查、净值计算、失败回滚逻辑)
✓ 环境变量仅读取 BINANCE_API_KEY/SECRET,不遍历 os.environ
✓ README 明确建议关闭提币/合约权限并绑定 IP 白名单