扫描报告
8 /100
watchdog
Watch.dog 平台 MCP Skill,监控网站/API/cron jobs 的可用性
Watchdog 技能是合法的 Watch.dog 监控平台 MCP 封装,代码行为与声明功能一致,仅存在轻微文档不完整问题。
可以安装
可直接使用。建议更新 SKILL.md 明确声明自动创建 .env 文件的初始化行为。
安全发现 2 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | 初始化流程未在文档中声明 文档欺骗 | index.js:56 |
| 提示 | 示例占位符 API Key 文档欺骗 | SKILL.md:60 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 网络访问 | WRITE | WRITE | ✓ 一致 | index.js:100-129 callRemoteTool() 通过 fetch 向 watch.dog API 发送请求,符合监控服务的设计 |
| 文件系统 | NONE | READ | ✓ 一致 | index.js:22-28 readFileSync(envPath) 读取 .env 文件,应在 SKILL.md 中声明 |
| 环境变量 | READ | READ | ✓ 一致 | index.js:32-35 读取 WATCHDOG_API_KEY 和 WATCHDOG_API_URL,已在 MCP manifest 中声明 |
1 高危 6 项发现
高危 API 密钥 疑似硬编码凭证
API_KEY="sk_live_your_key_here" SKILL.md:60 中危 外部 URL 外部 URL
https://api.watch.dog/api/mcp_server.php SKILL.md:25 中危 外部 URL 外部 URL
https://watch.dog SKILL.md:64 中危 外部 URL 外部 URL
https://watch.dog/monitors/... index.js:71 中危 外部 URL 外部 URL
https://opencollective.com/express package-lock.json:138 中危 外部 URL 外部 URL
https://opencollective.com/fastify package-lock.json:449 目录结构
4 文件 · 63.0 KB · 1824 行 JSON 2f · 1171L
JavaScript 1f · 561L
Markdown 1f · 92L
├─
index.js
JavaScript
├─
package-lock.json
JSON
├─
package.json
JSON
└─
SKILL.md
Markdown
依赖分析 2 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
@modelcontextprotocol/sdk | ^1.0.0 | npm | 否 | 官方 MCP SDK |
zod | ^3.22.0 | npm | 否 | Schema 验证库,版本锁定 |
安全亮点
✓ 使用官方 @modelcontextprotocol/sdk 库,代码质量可靠
✓ 依赖项已锁定版本(package-lock.json 存在)
✓ 所有网络请求仅指向 watch.dog 域名,无可疑外部通信
✓ 无代码混淆、base64 执行等高危指标
✓ 无凭证外传行为,API Key 仅用于远程 API 认证
✓ 无文件系统写入、shell 执行等敏感操作
✓ 错误处理完善,返回友好的错误信息