over-computer 安全扫描报告 — 低风险 | ClawSafe

25 /100

over-computer

Review and act on pending execution tasks in the over.computer trading. Connects to a managed environment for executing trading decisions on Polymarket, Hyperliquid, and security scenarios.

纯文档型技能，仅声明对 over.computer API 的交易执行能力，凭证声明合理但使用了未映射到 allowed-tools 的 shell 访问，无代码可验证性。

技能名称over-computer

分析耗时43.8s

引擎pi

✓

可以安装

建议补充实际执行脚本以便审计；若使用方对该外部服务无信任基础，应避免在生产环境部署。当前仅凭 SKILL.md 无法确认实际行为。

安全发现 4 项

严重性	安全发现	位置
低危	shell 权限使用未声明文档欺骗 SKILL.md 使用 curl bash 命令执行网络请求（shell:WRITE），但 allowed-tools 字段完全缺失，权限声明不完整。 `curl -s --request GET --url https://api.over.computer/v1/markets` → 在 allowed-tools 中补充 Bash/Write 工具声明，或将 curl 包装为 Read 工具	`SKILL.md:59`
低危	敏感凭证依赖外部服务敏感访问要求 OVER_API_KEY 环境变量（标记为 sensitive）用于外部 API 认证。如果外部服务 over.computer 被攻陷或为恶意方，凭证可用于未授权操作。 `credentials: - name: OVER_API_KEY required: true sensitive: true` → 确认 over.computer 为可信服务提供商；考虑使用凭证作用域限制	`SKILL.md:13`
低危	交易决策数据外传敏感访问市场状态、交易决策和风险评估通过 POST 请求发送到外部 API，数据可能被用于用户未完全了解的目的。 `curl --request POST --url https://api.over.computer/v1/orders --data {...}` → 确认 over.computer 隐私政策，确保交易数据不被用于竞争或数据贩售	`SKILL.md:92`
提示	无实际代码验证文档欺骗该技能包仅包含 SKILL.md 文档，无 scripts/ 代码文件，无法通过代码审计确认实际行为与文档一致。 `预扫描：totalFiles: 1, hasScripts: false` → 要求开发者提供可执行的脚本文件以进行行为审计	`SKILL.md:1`

资源类型	声明权限	推断权限	状态	证据
命令执行	`NONE`	`WRITE`	✗ 越权	SKILL.md:59-93 使用 curl/bash 命令执行网络请求但 allowed-tools 未声明
网络访问	`READ`	`WRITE`	✓ 一致	SKILL.md:59-93 GET/POST 到 api.over.computer endpoints
环境变量	`READ`	`READ`	✓ 一致	SKILL.md:45 读取 $OVER_API_KEY
文件系统	`NONE`	`NONE`	—	无文件系统操作声明
数据库	`NONE`	`NONE`	—	无数据库操作
剪贴板	`NONE`	`NONE`	—	无剪贴板操作
浏览器	`NONE`	`NONE`	—	无浏览器操作
技能调用	`NONE`	`NONE`	—	无嵌套技能调用

5 项发现

🔗

中危外部 URL 外部 URL

https://over.computer

SKILL.md:8

🔗

中危外部 URL 外部 URL

https://over.computer/connect

SKILL.md:48

🔗

中危外部 URL 外部 URL

https://api.over.computer/v1/markets

SKILL.md:59

🔗

中危外部 URL 外部 URL

https://api.over.computer/v1/markets/

SKILL.md:71

🔗

中危外部 URL 外部 URL

https://api.over.computer/v1/orders

SKILL.md:92

目录结构

1 文件 · 4.2 KB · 139 行

Markdown 1f · 139L

└─ 📝 SKILL.md Markdown 139L · 4.2 KB

安全亮点

✓ 文档结构清晰，API 端点明确

✓ 敏感凭证声明完整，标记为 required 和 sensitive

✓ 错误处理说明详细（401/404/409/429）

✓ 操作规则明确（单订单、不修订、按 schema 执行）

✓ operator 回退机制合理，失败时主动停止

✓ 无 base64 编码、eval 调用或远程脚本下载等高危特征

✓ 无文件写入、网络扫描或本地凭证收割行为