中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 10/100
Last scan:4 hr ago Rescan
10 /100
maxianer
中华术数推演系统(八字/紫微/六爻/梅花/奇门/称骨/铁板/解梦)
马仙儿术数推演系统为合法的八字/命理 API 客户端,仅通过 fetch 调用外部命理服务,无文件写入、无 shell 执行、无凭证收割、无数据外泄。
Skill Namemaxianer
Duration26.2s
Enginepi
ClawHub 马仙儿术数推演 v1.0.0 by xgimiapoll-code
📥 202
ClawHub Verdict Suspicious env_credential_accessllm_suspiciousvt_suspicious
Safe to install
可安全使用。如需进一步加固,可将硬编码 IP 改为完全由环境变量控制。

Findings 1 items

Severity Finding Location
Info
硬编码 IP 地址作为默认 API 端点 Supply Chain
API_URL 默认值为 http://34.84.114.113:3333 硬编码在脚本中,虽可通过环境变量覆盖,但默认值指向外部 IP 不符合安全最佳实践
const API_URL = (process.env.MAXIANER_API_URL || 'http://34.84.114.113:3333').replace(/\/$/, '');
→ 建议完全依赖环境变量,移除硬编码默认值;如必须保留,应标注为内部服务地址
 scripts/maxianer-call.mjs:7
ResourceDeclaredInferredStatusEvidence
Filesystem NONE NONE 代码仅通过 Node.js fetch 发网络请求,无任何文件读写操作
Network READ READ ✓ Aligned maxianer-call.mjs:51 — await fetch(`${API_URL}${ep.path}`, opts) 调用外部命理服务
Shell NONE NONE 代码无任何 subprocess/spawn/exec 调用
Environment NONE READ ✓ Aligned maxianer-call.mjs:7-8 — 仅读取 MAXIANER_API_URL 和 MAXIANER_API_KEY 用于配置,无遍历敏感关键字行为
1 High 2 findings
📡
High IP Address 硬编码 IP 地址
34.84.114.113
scripts/maxianer-call.mjs:13
🔗
Medium External URL 外部 URL
http://34.84.114.113:3333
scripts/maxianer-call.mjs:13

File Tree

2 files · 6.9 KB · 181 lines
Markdown 1f · 107L JavaScript 1f · 74L
├─ 📁 scripts
│ └─ 📜 maxianer-call.mjs JavaScript 74L · 2.3 KB
└─ 📝 SKILL.md Markdown 107L · 4.7 KB

Security Positives

✓ 无 shell 执行能力,仅为纯 HTTP 客户端
✓ 文档与代码行为完全一致,无阴影功能
✓ 无凭证收割行为(仅读自身配置用 env var)
✓ 无文件写入或路径遍历
✓ JSON 输入做了解析验证,防注入
✓ 错误处理完善(JSON 解析失败、HTTP 错误码检查)
✓ SKILL.md 清晰描述了所有端点和参数,用途合法