36kr-ainotes Security Report — Low Risk | ClawSafe

15 /100

36kr-ainotes

获取36氪AI测评的每日最新测评笔记内容

Legitimate 36kr AI测评笔记查询技能，仅执行只读网络请求获取公开JSON数据，代码无恶意行为。

Skill Name36kr-ainotes

Duration31.0s

Enginepi

✓

Safe to install

可安全使用。无需额外安全措施。

Findings 1 items

Severity	Finding	Location
Low	SKILL.md缺少allowed-tools声明 Doc Mismatch SKILL.md未明确声明allowed-tools字段，但技能行为完全符合只读网络获取公开JSON的描述，无实际安全影响。 `无allowed-tools声明` → 可选：添加allowed-tools声明以提升透明度	`SKILL.md:1`

Resource	Declared	Inferred	Status	Evidence
Network	`NONE`	`READ`	✓ Aligned	SKILL.md声明GET请求至openclaw.36krcdn.com，scripts仅使用urllib/curl GET
Shell	`NONE`	`READ`	✓ Aligned	fetch_ainotes.sh使用python3格式化JSON输出，属于合法CLI工具行为
Filesystem	`NONE`	`NONE`	—	仅使用mktemp创建临时文件用于curl响应，无持久化文件写入
credential_access	`NONE`	`NONE`	—	无os.environ迭代、无SSH/AWS/.env访问、无凭据收集

22 findings

🔗

Medium External URL 外部 URL

https://openclaw.36krcdn.com/media/ainotes/

SKILL.md:12

🔗

Medium External URL 外部 URL

https://img.36dianping.com/...

SKILL.md:26

🔗

Medium External URL 外部 URL

https://36aidianping.com/note-detail/xxxx?channel=skills

SKILL.md:27

🔗

Medium External URL 外部 URL

https://36aidianping.com/circle/6?channel=skills

SKILL.md:29

🔗

Medium External URL 外部 URL

https://36aidianping.com/product-detail/xxxx?channel=skills

SKILL.md:32

🔗

Medium External URL 外部 URL

https://openclaw.36krcdn.com/media/ainotes/$(date

SKILL.md:108

🔗

Medium External URL 外部 URL

https://36aidianping.com?channel=skills

SKILL.md:144

🔗

Medium External URL 外部 URL

https://clawhub.ai

SKILL.md:163

🔗

Medium External URL 外部 URL

https://openclaw.36krcdn.com

api-reference.md:7

🔗

Medium External URL 外部 URL

https://openclaw.36krcdn.com/media/ainotes/2026-03-18/ai_notes.json

api-reference.md:24

🔗

Medium External URL 外部 URL

https://img.36dianping.com/hsossms/36dianping/img/20260319/v2_b512d444820e41d9b4fdebac06ad5683@534797_img_jpeg

api-reference.md:54

🔗

Medium External URL 外部 URL

https://36aidianping.com/note-detail/3568010593718423?channel=skills

api-reference.md:55

🔗

Medium External URL 外部 URL

https://36aidianping.com/product-detail/14554?channel=skills

api-reference.md:60

🔗

Medium External URL 外部 URL

https://img.36dianping.com/hsossms/36dianping/img/20260319/v2_4fb45afca8084a85a8e195dbdb65279c@534524_img_png

api-reference.md:69

🔗

Medium External URL 外部 URL

https://36aidianping.com/note-detail/3568010593718421?channel=skills

api-reference.md:70

🔗

Medium External URL 外部 URL

https://36aidianping.com/product-detail/14639?channel=skills

api-reference.md:75

🔗

Medium External URL 外部 URL

https://36aidianping.com/note-detail/

api-reference.md:154

🔗

Medium External URL 外部 URL

https://36aidianping.com/note-detail/3477557660550660?channel=skills

examples.md:39

🔗

Medium External URL 外部 URL

https://openclaw.36krcdn.com/media/ainotes/%s/ai_notes.json

examples.md:94

🔗

Medium External URL 外部 URL

https://openclaw.36krcdn.com/media/ainotes/$

examples.md:139

🔗

Medium External URL 外部 URL

https://openclaw.36krcdn.com/media/ainotes/$DATE/ai_notes.json

examples.md:168

🔗

Medium External URL 外部 URL

https://openclaw.36krcdn.com/media/ainotes

scripts/fetch_ainotes.sh:18

File Tree

5 files · 35.5 KB · 1024 lines

Markdown 3f · 614L Python 1f · 205L Shell 1f · 205L

├─ ▾ 📁 scripts

│ ├─ 🐍 fetch_ainotes.py Python 205L · 6.8 KB

│ └─ 🔧 fetch_ainotes.sh Shell 205L · 5.7 KB

├─ 📝 api-reference.md Markdown 167L · 5.9 KB

├─ 📝 examples.md Markdown 281L · 9.1 KB

└─ 📝 SKILL.md Markdown 166L · 7.9 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`Python3标准库`	`内置`	标准库	No	仅使用urllib、json、datetime、argparse等标准模块
`curl`	`系统自带`	系统	No	Shell脚本使用curl进行网络请求

Security Positives

✓ 代码无base64编码或混淆执行

✓ 无逆向shell、远程代码执行

✓ 无凭据或敏感数据收集/外传

✓ 网络请求仅限单一受信任域名openclaw.36krcdn.com

✓ 数据隔离声明完整（SKILL.md安全说明章节）

✓ 所有字段作为纯展示数据处理，不执行指令

✓ 标准库依赖（urllib/curl），无第三方恶意依赖

✓ 临时文件使用mktemp创建并正确清理

✓ 文档与代码实现完全一致

Scan Report

Findings 1 items

File Tree

Dependencies 2 items

Security Positives