36kr-ainotes 安全扫描报告 — 低风险 | ClawSafe

15 /100

36kr-ainotes

获取36氪AI测评的每日最新测评笔记内容

Legitimate 36kr AI测评笔记查询技能，仅执行只读网络请求获取公开JSON数据，代码无恶意行为。

技能名称36kr-ainotes

分析耗时31.0s

引擎pi

✓

可以安装

可安全使用。无需额外安全措施。

安全发现 1 项

严重性	安全发现	位置
低危	SKILL.md缺少allowed-tools声明文档欺骗 SKILL.md未明确声明allowed-tools字段，但技能行为完全符合只读网络获取公开JSON的描述，无实际安全影响。 `无allowed-tools声明` → 可选：添加allowed-tools声明以提升透明度	`SKILL.md:1`

资源类型	声明权限	推断权限	状态	证据
网络访问	`NONE`	`READ`	✓ 一致	SKILL.md声明GET请求至openclaw.36krcdn.com，scripts仅使用urllib/curl GET
命令执行	`NONE`	`READ`	✓ 一致	fetch_ainotes.sh使用python3格式化JSON输出，属于合法CLI工具行为
文件系统	`NONE`	`NONE`	—	仅使用mktemp创建临时文件用于curl响应，无持久化文件写入
凭据访问	`NONE`	`NONE`	—	无os.environ迭代、无SSH/AWS/.env访问、无凭据收集

22 项发现

🔗

中危外部 URL 外部 URL

https://openclaw.36krcdn.com/media/ainotes/

SKILL.md:12

🔗

中危外部 URL 外部 URL

https://img.36dianping.com/...

SKILL.md:26

🔗

中危外部 URL 外部 URL

https://36aidianping.com/note-detail/xxxx?channel=skills

SKILL.md:27

🔗

中危外部 URL 外部 URL

https://36aidianping.com/circle/6?channel=skills

SKILL.md:29

🔗

中危外部 URL 外部 URL

https://36aidianping.com/product-detail/xxxx?channel=skills

SKILL.md:32

🔗

中危外部 URL 外部 URL

https://openclaw.36krcdn.com/media/ainotes/$(date

SKILL.md:108

🔗

中危外部 URL 外部 URL

https://36aidianping.com?channel=skills

SKILL.md:144

🔗

中危外部 URL 外部 URL

https://clawhub.ai

SKILL.md:163

🔗

中危外部 URL 外部 URL

https://openclaw.36krcdn.com

api-reference.md:7

🔗

中危外部 URL 外部 URL

https://openclaw.36krcdn.com/media/ainotes/2026-03-18/ai_notes.json

api-reference.md:24

🔗

中危外部 URL 外部 URL

https://img.36dianping.com/hsossms/36dianping/img/20260319/v2_b512d444820e41d9b4fdebac06ad5683@534797_img_jpeg

api-reference.md:54

🔗

中危外部 URL 外部 URL

https://36aidianping.com/note-detail/3568010593718423?channel=skills

api-reference.md:55

🔗

中危外部 URL 外部 URL

https://36aidianping.com/product-detail/14554?channel=skills

api-reference.md:60

🔗

中危外部 URL 外部 URL

https://img.36dianping.com/hsossms/36dianping/img/20260319/v2_4fb45afca8084a85a8e195dbdb65279c@534524_img_png

api-reference.md:69

🔗

中危外部 URL 外部 URL

https://36aidianping.com/note-detail/3568010593718421?channel=skills

api-reference.md:70

🔗

中危外部 URL 外部 URL

https://36aidianping.com/product-detail/14639?channel=skills

api-reference.md:75

🔗

中危外部 URL 外部 URL

https://36aidianping.com/note-detail/

api-reference.md:154

🔗

中危外部 URL 外部 URL

https://36aidianping.com/note-detail/3477557660550660?channel=skills

examples.md:39

🔗

中危外部 URL 外部 URL

https://openclaw.36krcdn.com/media/ainotes/%s/ai_notes.json

examples.md:94

🔗

中危外部 URL 外部 URL

https://openclaw.36krcdn.com/media/ainotes/$

examples.md:139

🔗

中危外部 URL 外部 URL

https://openclaw.36krcdn.com/media/ainotes/$DATE/ai_notes.json

examples.md:168

🔗

中危外部 URL 外部 URL

https://openclaw.36krcdn.com/media/ainotes

scripts/fetch_ainotes.sh:18

目录结构

5 文件 · 35.5 KB · 1024 行

Markdown 3f · 614L Python 1f · 205L Shell 1f · 205L

├─ ▾ 📁 scripts

│ ├─ 🐍 fetch_ainotes.py Python 205L · 6.8 KB

│ └─ 🔧 fetch_ainotes.sh Shell 205L · 5.7 KB

├─ 📝 api-reference.md Markdown 167L · 5.9 KB

├─ 📝 examples.md Markdown 281L · 9.1 KB

└─ 📝 SKILL.md Markdown 166L · 7.9 KB

依赖分析 2 项

包名	版本	来源	已知漏洞	备注
`Python3标准库`	`内置`	标准库	否	仅使用urllib、json、datetime、argparse等标准模块
`curl`	`系统自带`	系统	否	Shell脚本使用curl进行网络请求

安全亮点

✓ 代码无base64编码或混淆执行

✓ 无逆向shell、远程代码执行

✓ 无凭据或敏感数据收集/外传

✓ 网络请求仅限单一受信任域名openclaw.36krcdn.com

✓ 数据隔离声明完整（SKILL.md安全说明章节）

✓ 所有字段作为纯展示数据处理，不执行指令

✓ 标准库依赖（urllib/curl），无第三方恶意依赖

✓ 临时文件使用mktemp创建并正确清理

✓ 文档与代码实现完全一致