debunk Security Report — Trusted | ClawSafe

5 /100

debunk

事实核查与辟谣工具，核查用户提供的内容真伪并生成回复话术

事实核查技能，代码逻辑清晰，仅用于网页内容抓取和事实验证，pre-scan 标记的「硬编码IP」实为 Chrome 版本号（Chrome/131.0.0.0），非敏感IOC，无实质风险。

Skill Namedebunk

Duration23.4s

Enginepi

✓

Safe to install

无需限制，可安全使用。

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	SKILL.md:30 — web_fetch 声明用于抓取页面正文
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md:26 — 读取本地 Playwright 脚本
Shell	`READ`	`READ`	✓ Aligned	SKILL.md:26 — node 执行本地 JS 脚本，与声明能力相符

1 High 3 findings

📡

High IP Address 硬编码 IP 地址

131.0.0.0

scripts/fetch-url.js:56

🔗

Medium External URL 外部 URL

https://clawhub.com/skills/debunk

SKILL.md:5

🔗

Medium External URL 外部 URL

https://tino-chen.github.io/notes/workflows/debunk.html

SKILL.md:6

File Tree

3 files · 13.8 KB · 367 lines

Markdown 1f · 257L JavaScript 1f · 105L JSON 1f · 5L

├─ ▾ 📁 scripts

│ └─ 📜 fetch-url.js JavaScript 105L · 3.7 KB

├─ 📋 package.json JSON 5L · 59 B

└─ 📝 SKILL.md Markdown 257L · 10.0 KB

Package	Version	Source	Known Vulns	Notes
`playwright`	`^1.59.1`	npm	No	devDependencies，版本锁定

✓ SSRF 防护完善（scripts/fetch-url.js:11-27），阻止内网地址、localhost、非 http(s) 协议

✓ 仅声明并使用内置工具（web_search/web_fetch）和标准 Node 库（playwright）

✓ 输出内容截断至 maxChars（默认 15000），防止内存溢出

✓ 依赖版本锁定（playwright ^1.59.1），无供应链风险

✓ pre-scan 高危IOC（131.0.0.0）为 Chrome 浏览器版本号，非实际 IP 地址

✓ 无凭证读取、无数据外传、无代码混淆