price-alert-monitor 安全扫描报告 — 可信 | ClawSafe | ClawSafe

5 /100

price-alert-monitor

商品价格监控工具，监控电商商品价格变化，价格低于阈值时发送通知

合法的价格监控工具，存在轻微文档缺失（未声明本地文件读写），但无恶意行为。

技能名称price-alert-monitor

分析耗时30.5s

引擎pi

✓

可以安装

建议补充 SKILL.md 中关于 ~/.price-monitor.json 本地存储的说明。

安全发现 1 项

严重性	安全发现	位置
低危	本地存储功能未在文档中声明文档欺骗代码实际读写 ~/.price-monitor.json 存储监控数据，但 SKILL.md 未提及此文件系统操作。fetch_price() 函数为模拟实现，不执行真实网络请求。 `DATA_FILE = os.path.expanduser("~/.price-monitor.json")` → 在 SKILL.md 的功能说明中补充：'使用 ~/.price-monitor.json 本地存储监控商品信息'	`scripts/price_monitor.py:12`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`WRITE`	✓ 一致	scripts/price_monitor.py:12 读写 ~/.price-monitor.json
网络访问	`READ`	`NONE`	✓ 一致	scripts/price_monitor.py:45 fetch_price() 仅返回模拟数据，无真实网络请求

2 项发现

🔗

中危外部 URL 外部 URL

https://item.jd.com/100086924064.html

SKILL.md:55

🔗

中危外部 URL 外部 URL

https://www.amazon.com/dp/B09V3KXJPB

SKILL.md:58

目录结构

3 文件 · 6.8 KB · 266 行

Python 1f · 180L Markdown 1f · 76L JSON 1f · 10L

├─ ▾ 📁 scripts

│ └─ 🐍 price_monitor.py Python 180L · 5.2 KB

├─ 📋 _meta.json JSON 10L · 136 B

└─ 📝 SKILL.md Markdown 76L · 1.4 KB

安全亮点

✓ 代码结构清晰，无混淆或恶意编码

✓ 无凭证收割或敏感文件访问

✓ 无远程代码执行或 shell 调用

✓ 无外部数据传输或 C2 通信

✓ 无隐藏的后门或持久化机制