扫描报告
5 /100
debunk
事实核查与辟谣工具,核查用户提供的内容真伪并生成回复话术
事实核查技能,代码逻辑清晰,仅用于网页内容抓取和事实验证,pre-scan 标记的「硬编码IP」实为 Chrome 版本号(Chrome/131.0.0.0),非敏感IOC,无实质风险。
可以安装
无需限制,可安全使用。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 网络访问 | READ | READ | ✓ 一致 | SKILL.md:30 — web_fetch 声明用于抓取页面正文 |
| 文件系统 | READ | READ | ✓ 一致 | SKILL.md:26 — 读取本地 Playwright 脚本 |
| 命令执行 | READ | READ | ✓ 一致 | SKILL.md:26 — node 执行本地 JS 脚本,与声明能力相符 |
1 高危 3 项发现
高危 IP 地址 硬编码 IP 地址
131.0.0.0 scripts/fetch-url.js:56 中危 外部 URL 外部 URL
https://clawhub.com/skills/debunk SKILL.md:5 中危 外部 URL 外部 URL
https://tino-chen.github.io/notes/workflows/debunk.html SKILL.md:6 目录结构
3 文件 · 13.8 KB · 367 行 Markdown 1f · 257L
JavaScript 1f · 105L
JSON 1f · 5L
├─
▾
scripts
│ └─
fetch-url.js
JavaScript
├─
package.json
JSON
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
playwright | ^1.59.1 | npm | 否 | devDependencies,版本锁定 |
安全亮点
✓ SSRF 防护完善(scripts/fetch-url.js:11-27),阻止内网地址、localhost、非 http(s) 协议
✓ 仅声明并使用内置工具(web_search/web_fetch)和标准 Node 库(playwright)
✓ 输出内容截断至 maxChars(默认 15000),防止内存溢出
✓ 依赖版本锁定(playwright ^1.59.1),无供应链风险
✓ pre-scan 高危IOC(131.0.0.0)为 Chrome 浏览器版本号,非实际 IP 地址
✓ 无凭证读取、无数据外传、无代码混淆