中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 5/100
Last scan:4 hr ago Rescan
5 /100
multi-agent-brand-studio
Multi-Agent Brand Studio for OpenClaw - 多品牌社交媒体运营团队设置工具
Multi-Agent Brand Studio 是合法的 OpenClaw 多智能体社交媒体运营平台,包含目录创建、配置合并、Telegram API 集成等常规功能。无恶意行为发现,文档与代码行为一致。
Skill Namemulti-agent-brand-studio
Duration38.1s
Enginepi
ClawHub Multi-Agent Brand Studio v1.0.3 by kuan0808
📥 189
ClawHub Verdict Suspicious dangerous_execllm_suspicious
Safe to install
该技能安全可用,建议保持默认配置即可。

Findings 1 items

Severity Finding Location
Low
全局安装命令无版本锁定 Supply Chain
qmd-setup/SKILL.md 中使用 'bun install -g @tobilu/qmd' 和 'npm install -g @tobilu/qmd' 命令无版本锁定,可能拉取非预期版本
bun install -g @tobilu/qmd
→ 建议锁定版本:bun install -g @tobilu/qmd@latest 或指定具体版本
 assets/skills/qmd-setup/SKILL.md:51
ResourceDeclaredInferredStatusEvidence
Filesystem WRITE WRITE ✓ Aligned SKILL.md:3 声明设置多品牌工作室,需要创建目录和文件;scripts/scaffold.sh:143 使用 mkdir -p 创建目录
Network READ READ ✓ Aligned SKILL.md:89-108 声明通过 Telegram Bot API 创建话题;scripts/telegram-topics.js:92 调用 api.…
Shell NONE READ ✓ Aligned scripts/patch-config.js:60 使用 execSync('which qmd') 检测 QMD 是否安装,属于合法用途
Environment NONE NONE 未发现遍历环境变量匹配敏感关键字的行为
Skill Invoke READ READ ✓ Aligned SKILL.md:127-137 声明子技能 instance-setup、brand-manager、qmd-setup

File Tree

45 files · 168.8 KB · 4894 lines
Markdown 40f · 3671L JavaScript 2f · 765L Shell 1f · 358L JSON 2f · 100L
├─ 📁 assets
│ ├─ 📁 config
│ │ └─ 📋 cron-jobs.json JSON 72L · 3.6 KB
│ ├─ 📁 shared
│ │ ├─ 📁 brands
│ │ │ └─ 📁 _template
│ │ │ ├─ 📝 content-guidelines.md Markdown 29L · 472 B
│ │ │ └─ 📝 profile.md Markdown 74L · 2.1 KB
│ │ ├─ 📁 domain
│ │ │ └─ 📁 _template
│ │ │ └─ 📝 industry.md Markdown 29L · 711 B
│ │ ├─ 📁 errors
│ │ │ └─ 📝 solutions.md Markdown 25L · 596 B
│ │ ├─ 📁 operations
│ │ │ ├─ 📝 approval-workflow.md Markdown 73L · 3.1 KB
│ │ │ ├─ 📝 brief-templates.md Markdown 343L · 8.7 KB
│ │ │ ├─ 📝 channel-map.md Markdown 41L · 1.3 KB
│ │ │ ├─ 📝 communication-signals.md Markdown 81L · 3.8 KB
│ │ │ ├─ 📝 content-guidelines.md Markdown 55L · 1.7 KB
│ │ │ └─ 📝 posting-schedule.md Markdown 31L · 745 B
│ │ ├─ 📝 brand-guide.md Markdown 21L · 732 B
│ │ ├─ 📝 brand-registry.md Markdown 23L · 813 B
│ │ ├─ 📝 compliance-guide.md Markdown 27L · 824 B
│ │ ├─ 📝 system-guide.md Markdown 76L · 2.8 KB
│ │ └─ 📝 team-roster.md Markdown 20L · 794 B
│ ├─ 📁 skills
│ │ ├─ 📁 brand-manager
│ │ │ └─ 📝 SKILL.md Markdown 100L · 3.2 KB
│ │ ├─ 📁 instance-setup
│ │ │ └─ 📝 SKILL.md Markdown 76L · 2.3 KB
│ │ └─ 📁 qmd-setup
│ │ └─ 📝 SKILL.md Markdown 222L · 6.5 KB
│ ├─ 📁 workspace
│ │ ├─ 📝 AGENTS.md Markdown 310L · 15.9 KB
│ │ ├─ 📝 HEARTBEAT.md Markdown 6L · 331 B
│ │ ├─ 📝 IDENTITY.md Markdown 20L · 733 B
│ │ └─ 📝 SOUL.md Markdown 118L · 4.4 KB
│ ├─ 📁 workspace-creator
│ │ ├─ 📝 AGENTS.md Markdown 100L · 3.3 KB
│ │ └─ 📝 SOUL.md Markdown 31L · 1.1 KB
│ ├─ 📁 workspace-engineer
│ │ ├─ 📝 AGENTS.md Markdown 91L · 3.9 KB
│ │ └─ 📝 SOUL.md Markdown 25L · 852 B
│ ├─ 📁 workspace-researcher
│ │ ├─ 📝 AGENTS.md Markdown 116L · 4.3 KB
│ │ └─ 📝 SOUL.md Markdown 24L · 1021 B
│ ├─ 📁 workspace-reviewer
│ │ ├─ 📝 AGENTS.md Markdown 104L · 4.7 KB
│ │ └─ 📝 SOUL.md Markdown 25L · 917 B
│ └─ 📁 workspace-worker
│ ├─ 📝 AGENTS.md Markdown 56L · 1.7 KB
│ └─ 📝 SOUL.md Markdown 30L · 1.0 KB
├─ 📁 references
│ ├─ 📝 agent-roles.md Markdown 76L · 3.2 KB
│ ├─ 📝 approval-workflow.md Markdown 5L · 199 B
│ ├─ 📝 architecture.md Markdown 90L · 3.8 KB
│ ├─ 📋 example-agent-config.json JSON 28L · 943 B
│ ├─ 📝 memory-system.md Markdown 64L · 2.3 KB
│ ├─ 📝 signals-protocol.md Markdown 5L · 211 B
│ └─ 📝 troubleshooting.md Markdown 93L · 3.6 KB
├─ 📁 scripts
│ ├─ 📜 patch-config.js JavaScript 468L · 14.6 KB
│ ├─ 🔧 scaffold.sh Shell 358L · 10.8 KB
│ └─ 📜 telegram-topics.js JavaScript 297L · 9.2 KB
├─ 📝 README.md Markdown 568L · 17.0 KB
└─ 📝 SKILL.md Markdown 368L · 14.4 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
@tobilu/qmd * npm/bun No 全局安装无版本锁定,属于可选依赖

Security Positives

✓ 文档与代码行为完全一致,无阴影功能
✓ 无凭证收割行为(不遍历环境变量、不读取 ~/.ssh/.aws/.env)
✓ 无远程代码执行(无 curl|bash、wget|sh 管道)
✓ 无数据外泄(C2 通信、POST 凭证到外部)
✓ 无代码混淆(无 base64 解码执行、eval 等)
✓ Telegram API 调用使用 HTTPS,凭证安全传输
✓ 配置文件修改有备份机制(.backup-{timestamp})
✓ 脚本支持 dry-run 模式,可预览变更