中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Low Risk — Risk Score 15/100
Last scan:5 hr ago Rescan
15 /100
baidu-web-search
使用百度千帆 web search API 进行网络搜索
百度搜索技能,代码清晰透明,仅调用百度千帆官方API处理搜索请求,凭证处理规范,无恶意行为。
Skill Namebaidu-web-search
Duration29.4s
Enginepi
ClawHub Baidu Web Search v1.0.1 by sunshine-del-ux
📥 239 📦 2
ClawHub Verdict Suspicious potential_exfiltration
Safe to install
可安全使用。建议锁定 axios 版本以避免潜在的供应链风险。

Findings 1 items

Severity Finding Location
Low
第三方依赖无版本锁定 Supply Chain
axios 版本指定为 ^1.6.0,存在拉取到语义化版本不一致版本的风险
"axios": "^1.6.0"
→ 建议锁定具体版本,如 "axios": "1.7.4"
 package.json:5
ResourceDeclaredInferredStatusEvidence
Filesystem READ READ ✓ Aligned scripts/search.js:11 读取 config.json
Network READ WRITE ✓ Aligned scripts/search.js:7 发送 POST 请求到 qianfan.baidubce.com
Environment READ READ ✓ Aligned scripts/search.js:14 读取 BAIDU_API_KEY
Shell NONE NONE 无 shell 执行
Skill Invoke NONE NONE 无嵌套技能调用
4 findings
🔗
Medium External URL 外部 URL
https://leiaibot.com
SKILL.md:7
🔗
Medium External URL 外部 URL
https://cloud.baidu.com/doc/qianfan-api/s/Wmbq4z7e5
SKILL.md:80
🔗
Medium External URL 外部 URL
https://qianfan.baidubce.com/v2/ai_search/web_search
scripts/search.js:7
📧
Info Email 邮箱地址
[email protected]
SKILL.md:6

File Tree

5 files · 9.4 KB · 242 lines
Markdown 1f · 130L JavaScript 1f · 96L JSON 3f · 16L
├─ 📁 scripts
│ └─ 📜 search.js JavaScript 96L · 2.7 KB
├─ 📋 _meta.json JSON 5L · 135 B
├─ 📋 config.example.json JSON 3L · 19 B
├─ 📋 package.json JSON 8L · 121 B
└─ 📝 SKILL.md Markdown 130L · 6.4 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
axios ^1.6.0 npm No 无版本锁定,建议固定为具体版本

Security Positives

✓ 文档完整详尽,详细说明了凭证保护规则
✓ 代码逻辑清晰,无混淆或隐藏功能
✓ API key 仅用于本地进程内认证,不外传
✓ 使用 Bearer token 方式认证,符合最佳实践
✓ 网络请求仅指向百度官方域名 qianfan.baidubce.com
✓ config.json 已加入 .gitignore,避免误提交敏感配置
✓ 文档-行为完全一致,无声明-执行差异