Name: openclaw-search-pro 安全扫描报告 — 低风险 | ClawSafe
Item: openclaw-search-pro
Rating: 85
Author: ClawSafe

15 /100

openclaw-search-pro

多引擎聚合搜索工具，支持必应/搜狗/360/百度/Tavily/DuckDuckGo

合法的多引擎搜索工具，预扫描标记的硬编码IP实为内网IP范围定义（安全功能），无恶意行为发现

技能名称openclaw-search-pro

分析耗时71.8s

引擎pi

ClawHub Openclaw Search Pro v0.1.6 by williamwg2025

📥 524

ClawHub 判定可疑 env_credential_accessllm_suspiciousobfuscated_codepotential_exfiltrationvt_suspicious

✓

可以安装

可安全使用，预扫描IOC标记存在误报（IP范围是内网检查功能）

安全发现 2 项

严重性	安全发现	位置
低危	依赖版本未完全锁定供应链 package.json中axios使用^1.6.7范围版本，requests在Python脚本中无版本声明 `"axios": "^1.6.7"` → 建议固定版本：[email protected]，requests>=2.28.0	`package.json:21`
提示	预扫描IOC澄清（非风险）文档欺骗预扫描标记的4个硬编码IP（172.31.255.255、169.254.0.0/16）是内网IP范围定义，用于安全检查防止SSRF攻击，属于正面安全设计 `PRIVATE_NETWORKS = [{ start: '172.16.0.0', end: '172.31.255.255' }, ...]` → 此标记为误报，无需修复	`scripts/extract.js:18,22,122`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	config/search-config.json 仅读取配置
网络访问	`READ`	`READ`	✓ 一致	仅发起HTTPS请求到搜索引擎API
命令执行	`NONE`	`NONE`	—	无subprocess/shell执行

4 高危 69 项发现

📡

高危 IP 地址硬编码 IP 地址

172.31.255.255

scripts/extract.js:18

📡

高危 IP 地址硬编码 IP 地址

169.254.0.0

scripts/extract.js:22

📡

高危 IP 地址硬编码 IP 地址

169.254.255.255

scripts/extract.js:22

📡

高危 IP 地址硬编码 IP 地址

120.0.0.0

scripts/extract.js:122

🔗

中危外部 URL 外部 URL

https://ai.baidu.com/tech/search

BAIDU-API-GUIDE.md:7

🔗

中危外部 URL 外部 URL

https://console.bce.baidu.com/

BAIDU-API-GUIDE.md:106

🔗

中危外部 URL 外部 URL

https://ai.baidu.com/ai-doc/SEARCH

BAIDU-API-GUIDE.md:107

🔗

中危外部 URL 外部 URL

https://www.microsoft.com/en-us/bing/apis/bing-web-search-api

README.md:183

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/asynckit/-/asynckit-0.4.0.tgz

package-lock.json:26

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/axios/-/axios-1.13.6.tgz

package-lock.json:32

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/boolbase/-/boolbase-1.0.0.tgz

package-lock.json:43

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/call-bind-apply-helpers/-/call-bind-apply-helpers-1.0.2.tgz

package-lock.json:49

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/cheerio/-/cheerio-1.2.0.tgz

package-lock.json:62

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/cheerio-select/-/cheerio-select-2.1.0.tgz

package-lock.json:87

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/combined-stream/-/combined-stream-1.0.8.tgz

package-lock.json:104

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/css-select/-/css-select-5.2.2.tgz

package-lock.json:116

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/css-what/-/css-what-6.2.2.tgz

package-lock.json:132

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/delayed-stream/-/delayed-stream-1.0.0.tgz

package-lock.json:144

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/dom-serializer/-/dom-serializer-2.0.0.tgz

package-lock.json:153

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/domelementtype/-/domelementtype-2.3.0.tgz

package-lock.json:167

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/domhandler/-/domhandler-5.0.3.tgz

package-lock.json:179

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/domutils/-/domutils-3.2.2.tgz

package-lock.json:194

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/dunder-proto/-/dunder-proto-1.0.1.tgz

package-lock.json:208

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/encoding-sniffer/-/encoding-sniffer-0.2.1.tgz

package-lock.json:222

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/entities/-/entities-4.5.0.tgz

package-lock.json:235

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/es-define-property/-/es-define-property-1.0.1.tgz

package-lock.json:247

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/es-errors/-/es-errors-1.3.0.tgz

package-lock.json:256

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/es-object-atoms/-/es-object-atoms-1.1.1.tgz

package-lock.json:265

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/es-set-tostringtag/-/es-set-tostringtag-2.1.0.tgz

package-lock.json:277

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/follow-redirects/-/follow-redirects-1.15.11.tgz

package-lock.json:292

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/form-data/-/form-data-4.0.5.tgz

package-lock.json:312

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/function-bind/-/function-bind-1.1.2.tgz

package-lock.json:328

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/get-intrinsic/-/get-intrinsic-1.3.0.tgz

package-lock.json:337

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/get-proto/-/get-proto-1.0.1.tgz

package-lock.json:361

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/gopd/-/gopd-1.2.0.tgz

package-lock.json:374

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/has-symbols/-/has-symbols-1.1.0.tgz

package-lock.json:386

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/has-tostringtag/-/has-tostringtag-1.0.2.tgz

package-lock.json:398

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/hasown/-/hasown-2.0.2.tgz

package-lock.json:413

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/htmlparser2/-/htmlparser2-10.1.0.tgz

package-lock.json:425

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/entities/-/entities-7.0.1.tgz

package-lock.json:444

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/iconv-lite/-/iconv-lite-0.6.3.tgz

package-lock.json:456

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/math-intrinsics/-/math-intrinsics-1.1.0.tgz

package-lock.json:468

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/mime-db/-/mime-db-1.52.0.tgz

package-lock.json:477

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/mime-types/-/mime-types-2.1.35.tgz

package-lock.json:486

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/nth-check/-/nth-check-2.1.1.tgz

package-lock.json:498

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/parse5/-/parse5-7.3.0.tgz

package-lock.json:510

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/parse5-htmlparser2-tree-adapter/-/parse5-htmlparser2-tree-adapter-7.1.0.tgz

package-lock.json:522

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/parse5-parser-stream/-/parse5-parser-stream-7.1.2.tgz

package-lock.json:535

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/entities/-/entities-6.0.1.tgz

package-lock.json:547

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/proxy-from-env/-/proxy-from-env-1.1.0.tgz

package-lock.json:559

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/safer-buffer/-/safer-buffer-2.1.2.tgz

package-lock.json:565

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/undici/-/undici-7.24.4.tgz

package-lock.json:571

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/whatwg-encoding/-/whatwg-encoding-3.1.1.tgz

package-lock.json:580

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/whatwg-mimetype/-/whatwg-mimetype-4.0.0.tgz

package-lock.json:592

🔗

中危外部 URL 外部 URL

https://aip.baidubce.com/oauth/2.0/token

scripts/baidu_search.py:30

🔗

中危外部 URL 外部 URL

https://aip.baidubce.com/rpc/2.0/kg/v1/cognitive/get_sp?sp_id=5006

scripts/baidu_search.py:31

🔗

中危外部 URL 外部 URL

https://m.baidu.com/s

scripts/baidu_search.py:136

🔗

中危外部 URL 外部 URL

https://html.duckduckgo.com/html/

scripts/custom_search.py:129

🔗

中危外部 URL 外部 URL

https://api.bing.microsoft.com/v7.0/search

scripts/custom_search.py:163

🔗

中危外部 URL 外部 URL

https://api.tavily.com/search

scripts/custom_search.py:215

🔗

中危外部 URL 外部 URL

https://cn.bing.com/search

scripts/fallback_search.py:70

🔗

中危外部 URL 外部 URL

https://m.sogou.com/web

scripts/fallback_search.py:112

🔗

中危外部 URL 外部 URL

https://www.sogou.com/sogou?query=

scripts/fallback_search.py:130

🔗

中危外部 URL 外部 URL

https://cn.bing.com/search?q=$

scripts/free-search.js:32

🔗

中危外部 URL 外部 URL

https://www.sogou.com/web?query=$

scripts/free-search.js:68

🔗

中危外部 URL 外部 URL

https://www.sogou.com

scripts/free-search.js:81

🔗

中危外部 URL 外部 URL

https://www.so.com/s?q=$

scripts/free-search.js:113

🔗

中危外部 URL 外部 URL

https://m.so.com/s

scripts/free_search.py:151

🔗

中危外部 URL 外部 URL

https://www.so.com/s?q=

scripts/free_search.py:166

目录结构

17 文件 · 91.5 KB · 2942 行

Python 6f · 1161L JSON 3f · 669L Markdown 4f · 660L JavaScript 3f · 449L Config 1f · 3L

├─ ▾ 📁 config

│ └─ 📋 search-config.json JSON 37L · 837 B

├─ ▾ 📁 scripts

│ ├─ 🐍 baidu_search.py Python 232L · 7.7 KB

│ ├─ 🐍 custom_search.py Python 285L · 9.5 KB

│ ├─ 📜 extract.js JavaScript 166L · 5.5 KB

│ ├─ 🐍 extract.py Python 182L · 5.7 KB

│ ├─ 🐍 fallback_search.py Python 161L · 5.2 KB

│ ├─ 🐍 free_search.py Python 204L · 6.7 KB

│ ├─ 📜 free-search.js JavaScript 187L · 6.3 KB

│ ├─ 📜 multi-search.js JavaScript 96L · 3.3 KB

│ └─ 🐍 multi-search.py Python 97L · 3.4 KB

├─ ▾ 📁 venv

│ └─ 📄 pyvenv.cfg Config 3L · 69 B

├─ 📝 BAIDU-API-GUIDE.md Markdown 111L · 2.1 KB

├─ 📋 package-lock.json JSON 600L · 21.1 KB

├─ 📋 package.json JSON 32L · 798 B

├─ 📝 README_EN.md Markdown 99L · 1.9 KB

├─ 📝 README.md Markdown 309L · 7.5 KB

└─ 📝 SKILL.md Markdown 141L · 3.6 KB

依赖分析 3 项

包名	版本	来源	已知漏洞	备注
`axios`	`^1.6.7`	npm	否	有版本范围，无已知漏洞
`cheerio`	`^1.0.0-rc.12`	npm	否	HTML解析库
`requests`	`*`	pip	否	Python HTTP库，无版本锁定

安全亮点

✓ 有完整的内网IP范围检查（SSRF防护）

✓ 支持DNS解析后验证（防止域名指向内网）

✓ 检查内网域名模式（.local/.internal/.intranet）

✓ 协议白名单（仅http/https）

✓ 不访问敏感路径（~/.ssh、~/.aws等）

✓ 不执行外部代码或脚本

✓ 不收集/外传凭证或敏感数据

✓ 不进行持久化或后门植入