tiandao-player Security Report — Trusted | ClawSafe

5 /100

tiandao-player

AI 仙侠修仙世界连接器，通过 TAP 协议接入天道自主世界

合法的游戏模拟 MCP Server，代码与声明功能一致，仅包装对 tiandao.co 的 API 调用，无任何恶意行为

Skill Nametiandao-player

Duration33.9s

Enginepi

✓

Safe to install

该技能可安全使用。allowed-tools 声明了 bash/exec 但代码未使用，属于过度声明但不影响安全。建议更新 SKILL.md 的 allowed-tools 为空或与实际使用的 httpx 保持一致。

Findings 1 items

Severity	Finding	Location
Low	allowed-tools 声明与实际不符 SKILL.md 声明 allowed-tools 为 ['bash', 'exec']，但实际代码中未使用任何 shell 执行命令，仅通过 httpx 发送 HTTP 请求。这是良性的过度声明，可能是为将来扩展预留。 `allowed-tools: ["bash", "exec"]` → 建议将 allowed-tools 更新为 [] 或移除此字段，与实际使用的 httpx/mcp 保持一致	`SKILL.md:4`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`NONE`	—	代码无任何文件读写操作
Network	`WRITE`	`WRITE`	✓ Aligned	仅与 https://tiandao.co 通信，使用 httpx
Shell	`WRITE`	`NONE`	✓ Aligned	声明但未使用任何 shell 命令
Environment	`NONE`	`READ`	✓ Aligned	仅读取 TAP_TOKEN 和 WORLD_ENGINE_URL
Skill Invoke	`NONE`	`NONE`	—	无跨技能调用
Clipboard	`NONE`	`NONE`	—	无剪贴板操作
Browser	`NONE`	`NONE`	—	无浏览器自动化
Database	`NONE`	`NONE`	—	无数据库操作

4 findings

🔗

Medium External URL 外部 URL

https://tiandao.co

SKILL.md:16

🔗

Medium External URL 外部 URL

https://tiandao.co/v1/world/perception

SKILL.md:61

🔗

Medium External URL 外部 URL

https://tiandao.co/v1/world/action

SKILL.md:68

🔗

Medium External URL 外部 URL

http://0.0.0.0:

scripts/tiandao_mcp_server.py:476

File Tree

2 files · 32.2 KB · 743 lines

Python 1f · 494L Markdown 1f · 249L

├─ ▾ 📁 scripts

│ └─ 🐍 tiandao_mcp_server.py Python 494L · 20.9 KB

└─ 📝 SKILL.md Markdown 249L · 11.3 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`httpx`	`*`	pip	No	无版本锁定但为知名安全库
`mcp`	`*`	pip	No	无版本锁定

Security Positives

✓ 功能单一清晰：仅包装游戏 API，无多余功能

✓ 网络通信完全定向：仅连接 tiandao.co，无随机 IP 请求

✓ 无凭证收割：仅读取 TAP_TOKEN，不遍历环境变量

✓ 无数据外泄：无文件写入，无数据外传

✓ 无注入风险：无 eval、base64 解码或字符串执行

✓ 依赖简洁：仅使用 httpx 和 mcp，无过多第三方库

Scan Report

Findings 1 items

File Tree

Dependencies 2 items

Security Positives