tempo-stable-uniswap-swaps 安全扫描报告 — 低风险 | ClawSafe

20 /100

tempo-stable-uniswap-swaps

Tempo stablecoin and token swap operations for agents

合法的 Tempo 稳定币/代币交换工具，使用 curl|bash 安装 Foundry 符合预期用途，无阴影功能

技能名称tempo-stable-uniswap-swaps

分析耗时35.6s

引擎pi

✓

可以安装

可安全使用，但应限制 PRIVATE_KEY 权限，避免在共享环境使用

安全发现 2 项

严重性	安全发现	位置
低危	远程脚本执行安装工具供应链使用 curl\|bash 从 foundry.paradigm.xyz 安装 Foundry 工具链 (cast 命令)。这是 Foundry 官方推荐的安装方式，在 SKILL.md 中已声明。 `curl -L https://foundry.paradigm.xyz \| bash` → 如需更高安全性，可要求用户手动安装 Foundry 并验证签名	`SKILL.md:36`
低危	私钥环境变量依赖凭证窃取技能需要 PRIVATE_KEY 环境变量来签署链上交易。这是 DeFi 工具的标准需求，但私钥暴露存在固有风险。 `PRIVATE_KEY` → 建议使用硬件钱包或钱包连接器替代纯文本私钥	`SKILL.md:23`

资源类型	声明权限	推断权限	状态	证据
命令执行	`WRITE`	`WRITE`	✓ 一致	SKILL.md:36 用于安装 Foundry
网络访问	`READ`	`READ`	✓ 一致	SKILL.md:54-62 调用 Uniswap API 和 Tempo RPC
环境变量	`READ`	`READ`	✓ 一致	SKILL.md:22-24 声明读取 PRIVATE_KEY, UNISWAP_API_KEY

1 严重 8 项发现

💀

严重危险命令危险 Shell 命令

curl -L https://foundry.paradigm.xyz | bash

SKILL.md:36

🔗

中危外部 URL 外部 URL

https://rpc.presto.tempo.xyz

SKILL.md:19

💰

中危钱包地址加密货币钱包地址

0x20C0000000000000000000000000000000000000

SKILL.md:20

💰

中危钱包地址加密货币钱包地址

0x20c000000000000000000000b9537d11c60e8b50

SKILL.md:21

💰

中危钱包地址加密货币钱包地址

0x20C000000000000000000000d5d5815Ae71124d1

SKILL.md:22

💰

中危钱包地址加密货币钱包地址

0x000000000022D473030F116dDEE9F6B43aC78BA3

SKILL.md:23

🔗

中危外部 URL 外部 URL

https://foundry.paradigm.xyz

SKILL.md:36

🔗

中危外部 URL 外部 URL

https://trade-api.gateway.uniswap.org/v1/quote

SKILL.md:77

目录结构

1 文件 · 4.2 KB · 141 行

Markdown 1f · 141L

└─ 📝 SKILL.md Markdown 141L · 4.2 KB

安全亮点

✓ 功能单一，代码量小（141行），审计友好

✓ 无隐蔽功能，文档与行为一致

✓ 使用官方 Uniswap API，无自建 C2 端点

✓ 仅依赖标准工具链（cast, curl, jq）

✓ 明确声明所需环境变量和权限