price-alert-monitor Security Report — Trusted | ClawSafe

5 /100

price-alert-monitor

商品价格监控工具，监控电商商品价格变化，价格低于阈值时发送通知

合法的价格监控工具，存在轻微文档缺失（未声明本地文件读写），但无恶意行为。

Skill Nameprice-alert-monitor

Duration30.5s

Enginepi

✓

Safe to install

建议补充 SKILL.md 中关于 ~/.price-monitor.json 本地存储的说明。

Findings 1 items

Severity	Finding	Location
Low	本地存储功能未在文档中声明 Doc Mismatch 代码实际读写 ~/.price-monitor.json 存储监控数据，但 SKILL.md 未提及此文件系统操作。fetch_price() 函数为模拟实现，不执行真实网络请求。 `DATA_FILE = os.path.expanduser("~/.price-monitor.json")` → 在 SKILL.md 的功能说明中补充：'使用 ~/.price-monitor.json 本地存储监控商品信息'	`scripts/price_monitor.py:12`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`WRITE`	✓ Aligned	scripts/price_monitor.py:12 读写 ~/.price-monitor.json
Network	`READ`	`NONE`	✓ Aligned	scripts/price_monitor.py:45 fetch_price() 仅返回模拟数据，无真实网络请求

2 findings

🔗

Medium External URL 外部 URL

https://item.jd.com/100086924064.html

SKILL.md:55

🔗

Medium External URL 外部 URL

https://www.amazon.com/dp/B09V3KXJPB

SKILL.md:58

3 files · 6.8 KB · 266 lines

Python 1f · 180L Markdown 1f · 76L JSON 1f · 10L

├─ ▾ 📁 scripts

│ └─ 🐍 price_monitor.py Python 180L · 5.2 KB

├─ 📋 _meta.json JSON 10L · 136 B

└─ 📝 SKILL.md Markdown 76L · 1.4 KB

✓ 代码结构清晰，无混淆或恶意编码

✓ 无凭证收割或敏感文件访问

✓ 无远程代码执行或 shell 调用

✓ 无外部数据传输或 C2 通信

✓ 无隐藏的后门或持久化机制