tiandao-player 安全扫描报告 — 可信 | ClawSafe

5 /100

tiandao-player

AI 仙侠修仙世界连接器，通过 TAP 协议接入天道自主世界

合法的游戏模拟 MCP Server，代码与声明功能一致，仅包装对 tiandao.co 的 API 调用，无任何恶意行为

技能名称tiandao-player

分析耗时33.9s

引擎pi

✓

可以安装

该技能可安全使用。allowed-tools 声明了 bash/exec 但代码未使用，属于过度声明但不影响安全。建议更新 SKILL.md 的 allowed-tools 为空或与实际使用的 httpx 保持一致。

安全发现 1 项

严重性	安全发现	位置
低危	allowed-tools 声明与实际不符 SKILL.md 声明 allowed-tools 为 ['bash', 'exec']，但实际代码中未使用任何 shell 执行命令，仅通过 httpx 发送 HTTP 请求。这是良性的过度声明，可能是为将来扩展预留。 `allowed-tools: ["bash", "exec"]` → 建议将 allowed-tools 更新为 [] 或移除此字段，与实际使用的 httpx/mcp 保持一致	`SKILL.md:4`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`NONE`	—	代码无任何文件读写操作
网络访问	`WRITE`	`WRITE`	✓ 一致	仅与 https://tiandao.co 通信，使用 httpx
命令执行	`WRITE`	`NONE`	✓ 一致	声明但未使用任何 shell 命令
环境变量	`NONE`	`READ`	✓ 一致	仅读取 TAP_TOKEN 和 WORLD_ENGINE_URL
技能调用	`NONE`	`NONE`	—	无跨技能调用
剪贴板	`NONE`	`NONE`	—	无剪贴板操作
浏览器	`NONE`	`NONE`	—	无浏览器自动化
数据库	`NONE`	`NONE`	—	无数据库操作

4 项发现

🔗

中危外部 URL 外部 URL

https://tiandao.co

SKILL.md:16

🔗

中危外部 URL 外部 URL

https://tiandao.co/v1/world/perception

SKILL.md:61

🔗

中危外部 URL 外部 URL

https://tiandao.co/v1/world/action

SKILL.md:68

🔗

中危外部 URL 外部 URL

http://0.0.0.0:

scripts/tiandao_mcp_server.py:476

2 文件 · 32.2 KB · 743 行

Python 1f · 494L Markdown 1f · 249L

├─ ▾ 📁 scripts

│ └─ 🐍 tiandao_mcp_server.py Python 494L · 20.9 KB

└─ 📝 SKILL.md Markdown 249L · 11.3 KB

包名	版本	来源	已知漏洞	备注
`httpx`	`*`	pip	否	无版本锁定但为知名安全库
`mcp`	`*`	pip	否	无版本锁定

✓ 功能单一清晰：仅包装游戏 API，无多余功能

✓ 网络通信完全定向：仅连接 tiandao.co，无随机 IP 请求

✓ 无凭证收割：仅读取 TAP_TOKEN，不遍历环境变量

✓ 无数据外泄：无文件写入，无数据外传

✓ 无注入风险：无 eval、base64 解码或字符串执行

✓ 依赖简洁：仅使用 httpx 和 mcp，无过多第三方库