buy-domain-helper Security Report — Low Risk | ClawSafe

25 /100

buy-domain-helper

3-layer site launcher: tunnel any HTML instantly (no account), deploy to Cloudflare Pages (permanent), then buy a domain and link it via DNS

Cloudflare部署工具，代码无恶意行为，但存在文档-声明不一致和供应链瑕疵

Skill Namebuy-domain-helper

Duration38.7s

Enginepi

✓

Safe to install

建议在SKILL.md中补充NETA_TOKEN说明，并考虑锁定npx依赖版本

Findings 3 items

Severity	Finding	Location
Low	NETA_TOKEN环境变量未在文档中声明 Doc Mismatch package.json中声明了NETA_TOKEN环境变量为必需（用于Neta AI API），但SKILL.md中完全未提及此依赖。这可能导致用户授权了未知的API访问。 `"NETA_TOKEN": "Neta AI API token. Get it at https://www.neta.art/open/"` → 在SKILL.md的Setup或Environment Variables章节中补充NETA_TOKEN说明，解释其用途	`package.json:9`
Low	动态npm包下载无版本锁定 Supply Chain site.js第67行使用npx -y serve动态下载serve包，没有锁定版本，存在依赖替换风险 `spawn('npx', ['-y', 'serve', target, '-p', '8080', '-s'])` → 考虑在本地安装serve或锁定版本: npx -y [email protected]	`site.js:67`
Info	自动安装系统工具 Priv Escalation 代码在cloudflared不存在时自动执行brew install，这属于权限提升行为但属于合理场景 `execSync('brew install cloudflared', { stdio: 'inherit' })` → 无需修改，这是合理的用户体验优化	`site.js:49`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	site.js:67-75 deploy命令读取本地目录
Network	`WRITE`	`WRITE`	✓ Aligned	site.js:26 api()函数调用Cloudflare API
Shell	`WRITE`	`WRITE`	✓ Aligned	site.js:49 execSync('brew install'), site.js:73 wrangler deploy
Environment	`NONE`	`READ`	✗ Violation	package.json:9-11 声明NETA_TOKEN但SKILL.md未提及

8 findings

🔗

Medium External URL 外部 URL

https://abc.trycloudflare.com

README.md:41

🔗

Medium External URL 外部 URL

https://*.trycloudflare.com

README.md:65

🔗

Medium External URL 外部 URL

https://dash.cloudflare.com/profile/api-tokens

README.md:81

🔗

Medium External URL 外部 URL

https://abc123.my-site.pages.dev

README.md:88

🔗

Medium External URL 外部 URL

https://dash.cloudflare.com/

README.md:110

🔗

Medium External URL 外部 URL

https://mysite.com

README.md:149

🔗

Medium External URL 外部 URL

https://www.neta.art/open/

package.json:9

🔗

Medium External URL 外部 URL

https://api.cloudflare.com/client/v4

site.js:26

File Tree

4 files · 15.4 KB · 420 lines

Markdown 2f · 240L JavaScript 1f · 166L JSON 1f · 14L

├─ 📋 package.json JSON 14L · 268 B

├─ 📝 README.md Markdown 191L · 5.9 KB

├─ 📜 site.js JavaScript 166L · 7.4 KB

└─ 📝 SKILL.md Markdown 49L · 1.8 KB

Dependencies 3 items

Package	Version	Source	Known Vulns	Notes
`serve`	`*`	npx	No	动态下载无版本锁定
`cloudflared`	`*`	brew	No	系统级工具自动安装
`wrangler`	`*`	npm	No	Cloudflare官方CLI

Security Positives

✓ 代码结构清晰，功能与文档描述基本一致

✓ 使用原生Node.js API，无额外恶意依赖

✓ API token通过命令行参数或环境变量传入，凭证不硬编码

✓ 错误处理完善，区分可恢复错误和致命错误

✓ wrangler作为官方工具执行部署，符合Cloudflare官方最佳实践

Scan Report

Findings 3 items

File Tree

Dependencies 3 items

Security Positives