安全决策报告

x-daily-report

Name: x-daily-report 可信度判断报告
Item: x-daily-report
Rating: 52
Author: ClawSafe

硬编码X API凭证且凭证收割行为超出声明范围，但功能本身看似合法

安装决策优先来源: ClawHub 扫描时间: 2026/4/6

文件 5

IOC 2

越权项 1

发现 5

最直接的威胁证据

用户安装并运行skill，声称用于X账号监控 初始入口 · SKILL.md

通过useCookiesFromBrowser窃取Chrome中X平台认证Cookie 权限提升 · scripts/x-scraper-free.js

使用窃取的Cookie或硬编码API密钥访问用户X账号数据 最终危害 · scripts/x-monitor.js

为什么得出这个结论

3/4 个维度触发

阻止

声明与实际能力

发现 1 项声明之外的能力或越权行为。

阻止

隐藏执行与外联

提取到 1 个高危 IOC 或外联信号。

阻止

攻击链与高危发现

报告包含 3 步攻击链，另有 2 项高危或严重发现。

复核

依赖与供应链卫生

发现 1 项需要关注的依赖或供应链线索。

攻击链

用户安装并运行skill，声称用于X账号监控

初始入口 · SKILL.md:1

通过useCookiesFromBrowser窃取Chrome中X平台认证Cookie

权限提升 · scripts/x-scraper-free.js:43

使用窃取的Cookie或硬编码API密钥访问用户X账号数据

最终危害 · scripts/x-monitor.js:11

风险分是怎么被拉高的

硬编码API密钥 +25

X_API_KEY='THp2c1V4bW5JQVJ1S09IY1BzN1NubDoxaXJpUQ'直接写在源码scripts/x-monitor.js:11

浏览器Cookie窃取 +15

x-scraper-free.js调用useCookiesFromBrowser('chrome')从Chrome提取已登录会话

飞书Token访问 +8

访问FEISHU_ACCESS_TOKEN环境变量收集第三方凭证

最关键的证据

高危凭证窃取

硬编码X API密钥

在源代码中直接暴露X平台API密钥'THp2c1V4bW5JQVJ1S09IY1BzN1NubDoxaXJpUQ'，攻击者可通过源码获取并滥用

scripts/x-monitor.js:11

移除硬编码密钥，改用环境变量或配置文件

高危凭证窃取

从Chrome浏览器窃取认证Cookie

使用twitter-scraper库的useCookiesFromBrowser('chrome')方法从用户Chrome浏览器提取X平台的认证会话Cookie，可能窃取已登录凭证

scripts/x-scraper-free.js:43

使用官方API而非浏览器会话劫持

中危凭证窃取

飞书AccessToken环境变量访问

代码访问FEISHU_ACCESS_TOKEN环境变量，该凭证用于获取飞书多维表格中的账号列表，存在凭证收割意图

scripts/x-monitor.js:23

确认此访问是否为功能必要

中危供应链

第三方依赖无版本锁定

axios依赖使用^1.6.0允许自动升级，存在供应链攻击风险

package.json:14

锁定具体版本如[email protected]

低危文档欺骗

API密钥获取方式未声明

SKILL.md提到'填入X_API_KEY'但未说明密钥来源，代码注释'已自动获取'暗示可能的收割行为

SKILL.md:58

明确说明API密钥来源和配置方式

声明能力 vs 实际能力

网络访问 通过

声明 READ

→

推断 READ

axios调用飞书/X API

环境变量 阻止

声明 NONE

→

推断 READ

scripts/x-monitor.js:23 读取FEISHU_ACCESS_TOKEN

文件系统 通过

声明 WRITE

→

推断 WRITE

writeFile写入日报文件

可疑产物与外联

高危 API 密钥

API_KEY = 'THp2c1V4bW5JQVJ1S09IY1BzN1NubDoxaXJpUQ'

scripts/x-monitor.js:11

中危外部 URL

https://open.feishu.cn/open-apis

scripts/x-monitor.js:8

依赖与供应链

包名	版本	来源	漏洞	备注
@the-convocation/twitter-scraper	`^0.22.1`	npm	否	包含浏览器Cookie访问能力
axios	`^1.6.0`	npm	否	无版本锁定，存在供应链风险

文件构成

5 个文件 · 609 行

JavaScript 2 个文件 · 445 行Markdown 2 个文件 · 147 行JSON 1 个文件 · 17 行

需关注文件 · 4

scripts/x-monitor.js JavaScript · 235 行

硬编码X API密钥 · 飞书AccessToken环境变量访问 · API_KEY = 'THp2c1V4bW5JQVJ1S09IY1BzN1NubDoxaXJpUQ' · https://open.feishu.cn/open-apis

scripts/x-scraper-free.js JavaScript · 210 行

从Chrome浏览器窃取认证Cookie

SKILL.md Markdown · 93 行

API密钥获取方式未声明

package.json JSON · 17 行

第三方依赖无版本锁定

其他文件 · account-list.md

安全亮点

功能实现完整，代码结构清晰

使用开源twitter-scraper而非自建恶意爬虫

日报生成逻辑合理，符合描述功能