中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:2 days ago Rescan
5 /100
AI Content Generator Pro
AI内容生成工具,支持多模型(OpenAI/Claude/Grok)生成博客、社交媒体、邮件等营销内容
合法的 AI 内容生成技能,仅包含声明的文本生成功能,无恶意行为发现。存在轻微权限声明宽泛(exec未使用)但不影响安全。
Skill NameAI Content Generator Pro
Duration58.4s
Enginepi
Safe to install
可安全使用。exec权限声明与实际代码不符,建议移除以符合最小权限原则。

Findings 3 items

Severity Finding Location
Low
权限声明宽泛 - exec权限未使用
package.json声明了exec权限,但index.js中虽然导入了child_process.exec,实际上并未使用该功能。这是一个轻微的权限声明与实际代码不一致问题。
import { exec } from 'child_process'; // 导入但未使用
→ 移除exec权限声明或将实际用途明确记录在SKILL.md中
 package.json:43 + index.js:2
Low
依赖库无版本锁定
package.json中的依赖项使用^版本范围(如openai: ^4.0.0),可能引入意外的更新。
"openai": "^4.0.0"
→ 使用确切的版本号(如4.0.0)以确保可重现性
 package.json:25-32
Info
模拟API响应
代码使用模拟响应而非实际调用AI API,这是合理的原型设计。
// In a real implementation, this would call actual APIs
→ 生产环境需替换为真实API调用
 index.js:155-175
ResourceDeclaredInferredStatusEvidence
Filesystem WRITE WRITE ✓ Aligned index.js:86 fs.writeFileSync 用于保存生成的内容
Network READ READ ✓ Aligned package.json声明web_fetch,代码仅用于调用外部AI API
Shell WRITE NONE ✗ Violation package.json声明exec但index.js中exec仅导入未使用
Environment NONE NONE 无环境变量访问
Skill Invoke WRITE WRITE ✓ Aligned index.js作为OpenClaw skill入口导出默认函数
Clipboard NONE NONE 无剪贴板操作
Browser NONE NONE 无浏览器访问
Database READ READ ✓ Aligned package.json声明sqlite3依赖但代码未实际使用
2 findings
📧
Info Email 邮箱地址
[email protected]
CLAWHUB_LISTING.md:234
📧
Info Email 邮箱地址
[email protected]
CLAWHUB_LISTING.md:239

File Tree

18 files · 63.7 KB · 2063 lines
Markdown 9f · 1204L JavaScript 2f · 471L Shell 2f · 207L JSON 5f · 181L
├─ 📁 config
│ ├─ 🔑 config.json JSON 24L · 362 B
│ ├─ 📋 models.json JSON 27L · 690 B
│ ├─ 📋 prompts.json JSON 24L · 3.6 KB
│ └─ 📋 templates.json JSON 45L · 1.3 KB
├─ 📁 content
│ ├─ 📁 samples
│ │ └─ 📝 sample-blog.md Markdown 22L · 564 B
│ ├─ 📝 blog-1773489827764.md Markdown 12L · 378 B
│ └─ 📝 calendar-weekly-1773489827765.md Markdown 12L · 320 B
├─ 📁 references
│ ├─ 📝 api-docs.md Markdown 370L · 7.8 KB
│ └─ 📝 market-research.md Markdown 127L · 4.0 KB
├─ 📁 scripts
│ ├─ 🔧 setup.sh Shell 95L · 2.2 KB
│ └─ 🔧 test.sh Shell 112L · 2.7 KB
├─ 📝 CLAWHUB_LISTING.md Markdown 246L · 8.1 KB
├─ 📝 IMPLEMENTATION_SUMMARY.md Markdown 209L · 7.4 KB
├─ 📜 index.js JavaScript 366L · 13.3 KB
├─ 📋 package.json JSON 61L · 1.3 KB
├─ 📝 README.md Markdown 29L · 646 B
├─ 📝 SKILL.md Markdown 177L · 6.4 KB
└─ 📜 test.js JavaScript 105L · 2.8 KB

Dependencies 4 items

PackageVersionSourceKnown VulnsNotes
openai ^4.0.0 npm No 无版本锁定
@anthropic-ai/sdk ^0.24.0 npm No 无版本锁定
sqlite3 ^5.1.6 npm No 需本地编译,包含C++绑定
cheerio ^1.0.0 npm No 无版本锁定

Security Positives

✓ 所有功能都有SKILL.md文档声明
✓ 无凭证收割或环境变量遍历行为
✓ 无网络外传或C2通信
✓ 无文件权限越权访问
✓ 无隐藏的shell执行或base64编码载荷
✓ 无HTML注释中的隐藏指令
✓ 敏感路径(~/.ssh, ~/.aws, .env)未被访问
✓ config/config.json中API密钥默认为空,安全设计良好