中文 EN

扫描报告

扫描新文件

可信 — 风险评分 10/100
上次扫描:4 小时前 重新扫描
10 /100
maxianer
中华术数推演系统(八字/紫微/六爻/梅花/奇门/称骨/铁板/解梦)
马仙儿术数推演系统为合法的八字/命理 API 客户端,仅通过 fetch 调用外部命理服务,无文件写入、无 shell 执行、无凭证收割、无数据外泄
技能名称maxianer
分析耗时26.2s
引擎pi
ClawHub 马仙儿术数推演 v1.0.0 by xgimiapoll-code
📥 202
ClawHub 判定 可疑 env_credential_accessllm_suspiciousvt_suspicious
可以安装
可安全使用。如需进一步加固,可将硬编码 IP 改为完全由环境变量控制。

安全发现 1 项

严重性 安全发现 位置
提示
硬编码 IP 地址作为默认 API 端点 供应链
API_URL 默认值为 http://34.84.114.113:3333 硬编码在脚本中,虽可通过环境变量覆盖,但默认值指向外部 IP 不符合安全最佳实践
const API_URL = (process.env.MAXIANER_API_URL || 'http://34.84.114.113:3333').replace(/\/$/, '');
→ 建议完全依赖环境变量,移除硬编码默认值;如必须保留,应标注为内部服务地址
 scripts/maxianer-call.mjs:7
资源类型声明权限推断权限状态证据
文件系统 NONE NONE 代码仅通过 Node.js fetch 发网络请求,无任何文件读写操作
网络访问 READ READ ✓ 一致 maxianer-call.mjs:51 — await fetch(`${API_URL}${ep.path}`, opts) 调用外部命理服务
命令执行 NONE NONE 代码无任何 subprocess/spawn/exec 调用
环境变量 NONE READ ✓ 一致 maxianer-call.mjs:7-8 — 仅读取 MAXIANER_API_URL 和 MAXIANER_API_KEY 用于配置,无遍历敏感关键字行为
1 高危 2 项发现
📡
高危 IP 地址 硬编码 IP 地址
34.84.114.113
scripts/maxianer-call.mjs:13
🔗
中危 外部 URL 外部 URL
http://34.84.114.113:3333
scripts/maxianer-call.mjs:13

目录结构

2 文件 · 6.9 KB · 181 行
Markdown 1f · 107L JavaScript 1f · 74L
├─ 📁 scripts
│ └─ 📜 maxianer-call.mjs JavaScript 74L · 2.3 KB
└─ 📝 SKILL.md Markdown 107L · 4.7 KB

安全亮点

✓ 无 shell 执行能力,仅为纯 HTTP 客户端
✓ 文档与代码行为完全一致,无阴影功能
✓ 无凭证收割行为(仅读自身配置用 env var)
✓ 无文件写入或路径遍历
✓ JSON 输入做了解析验证,防注入
✓ 错误处理完善(JSON 解析失败、HTTP 错误码检查)
✓ SKILL.md 清晰描述了所有端点和参数,用途合法