news-watcher 安全扫描报告 — 低风险 | ClawSafe

15 /100

news-watcher

实时监听 CoinDesk / PANews 虚拟货币新闻，新文章发布后自动抓取全文、AI 总结并推送 Telegram

合法的加密货币新闻监听工具，代码开源透明，无恶意行为，仅存在依赖版本未锁定等轻微瑕疵

技能名称news-watcher

分析耗时58.2s

引擎pi

✓

可以安装

可安全使用，建议锁定 playwright 和 crypto 依赖版本以避免供应链风险

安全发现 2 项

严重性	安全发现	位置
低危	依赖版本未锁定供应链 package.json 中 playwright (^1.40.0) 和 crypto (^1.0.1) 使用语义化版本范围，未锁定精确版本 `"playwright": "^1.40.0"` → 建议锁定精确版本或使用 lockfile，并定期检查已知漏洞	`package.json:17`
提示	Chrome 路径硬编码权限提升未设置 CHROME_PATH 时，代码会尝试多个平台的 Chrome 默认安装路径，这可能导致权限问题 `/usr/bin/google-chrome, /Applications/Google Chrome.app/...` → 文档已建议设置 CHROME_PATH，风险可控	`scripts/watch-news.js:169`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	scripts/watch-news.js:52 - 写入 ~/.openclaw/cache/news-hash.json
网络访问	`READ`	`READ`	✓ 一致	scripts/watch-news.js:169 - page.goto() 访问新闻网站
命令执行	`NONE`	`WRITE`	✓ 一致	scripts/watch-news.js:12 - execFileSync 仅用于调用 openclaw.mjs
环境变量	`READ`	`READ`	✓ 一致	scripts/watch-news.js:8-11 - 读取 OPENCLAW_MJS, TELEGRAM_USER_ID 等配置
浏览器	`WRITE`	`WRITE`	✓ 一致	scripts/watch-news.js:169-175 - Playwright 浏览器自动化

2 项发现

🔗

中危外部 URL 外部 URL

https://www.coindesk.com/zh

scripts/watch-news.js:35

🔗

中危外部 URL 外部 URL

https://www.panewslab.com/zh

scripts/watch-news.js:41

6 文件 · 34.8 KB · 1123 行

JavaScript 1f · 373L Text 1f · 373L Markdown 2f · 299L JSON 2f · 78L

├─ ▾ 📁 scripts

│ └─ 📜 watch-news.js JavaScript 373L · 12.4 KB

├─ 📋 package.json JSON 20L · 529 B

├─ 📝 README.md Markdown 141L · 3.1 KB

├─ 📋 skill.json JSON 58L · 2.0 KB

├─ 📝 SKILL.md Markdown 158L · 4.3 KB

└─ 📄 watch-news.txt Text 373L · 12.4 KB

包名	版本	来源	已知漏洞	备注
`playwright`	`^1.40.0`	npm	否	版本未锁定，建议使用精确版本
`crypto`	`^1.0.1`	npm	否	Node.js 内置模块，单独安装版本意义不大

✓ 完全开源（GitHub: https://github.com/vvxer/openclaw-news-watcher）

✓ 代码清晰易读，无混淆或隐藏逻辑

✓ 不访问敏感路径（~/.ssh、~/.aws、.env 等）

✓ 不扫描或收割环境变量中的凭证

✓ 网络请求均为合法新闻网站和 Telegram API

✓ 使用 execFileSync 而非 exec/popen，限制在单一已知二进制

✓ 文档详细，声称与实际行为一致