中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 15/100
上次扫描:5 小时前 重新扫描
15 /100
baidu-web-search
使用百度千帆 web search API 进行网络搜索
百度搜索技能,代码清晰透明,仅调用百度千帆官方API处理搜索请求,凭证处理规范,无恶意行为。
技能名称baidu-web-search
分析耗时29.4s
引擎pi
ClawHub Baidu Web Search v1.0.1 by sunshine-del-ux
📥 239 📦 2
ClawHub 判定 可疑 potential_exfiltration
可以安装
可安全使用。建议锁定 axios 版本以避免潜在的供应链风险。

安全发现 1 项

严重性 安全发现 位置
低危
第三方依赖无版本锁定 供应链
axios 版本指定为 ^1.6.0,存在拉取到语义化版本不一致版本的风险
"axios": "^1.6.0"
→ 建议锁定具体版本,如 "axios": "1.7.4"
 package.json:5
资源类型声明权限推断权限状态证据
文件系统 READ READ ✓ 一致 scripts/search.js:11 读取 config.json
网络访问 READ WRITE ✓ 一致 scripts/search.js:7 发送 POST 请求到 qianfan.baidubce.com
环境变量 READ READ ✓ 一致 scripts/search.js:14 读取 BAIDU_API_KEY
命令执行 NONE NONE 无 shell 执行
技能调用 NONE NONE 无嵌套技能调用
4 项发现
🔗
中危 外部 URL 外部 URL
https://leiaibot.com
SKILL.md:7
🔗
中危 外部 URL 外部 URL
https://cloud.baidu.com/doc/qianfan-api/s/Wmbq4z7e5
SKILL.md:80
🔗
中危 外部 URL 外部 URL
https://qianfan.baidubce.com/v2/ai_search/web_search
scripts/search.js:7
📧
提示 邮箱 邮箱地址
[email protected]
SKILL.md:6

目录结构

5 文件 · 9.4 KB · 242 行
Markdown 1f · 130L JavaScript 1f · 96L JSON 3f · 16L
├─ 📁 scripts
│ └─ 📜 search.js JavaScript 96L · 2.7 KB
├─ 📋 _meta.json JSON 5L · 135 B
├─ 📋 config.example.json JSON 3L · 19 B
├─ 📋 package.json JSON 8L · 121 B
└─ 📝 SKILL.md Markdown 130L · 6.4 KB

依赖分析 1 项

包名版本来源已知漏洞备注
axios ^1.6.0 npm 无版本锁定,建议固定为具体版本

安全亮点

✓ 文档完整详尽,详细说明了凭证保护规则
✓ 代码逻辑清晰,无混淆或隐藏功能
✓ API key 仅用于本地进程内认证,不外传
✓ 使用 Bearer token 方式认证,符合最佳实践
✓ 网络请求仅指向百度官方域名 qianfan.baidubce.com
✓ config.json 已加入 .gitignore,避免误提交敏感配置
✓ 文档-行为完全一致,无声明-执行差异