velora-chat 安全扫描报告 — 可信 | ClawSafe

5 /100

velora-chat

Velora AI companions 平台测试工具，使用 Playwright 进行浏览器自动化

Velora 平台测试工具，声明与实际行为一致，无恶意行为，为合法浏览器自动化脚本

技能名称velora-chat

分析耗时30.8s

引擎pi

✓

可以安装

可安全使用。建议通过环境变量传递凭证而非命令行参数以避免进程列表泄露

安全发现 1 项

严重性	安全发现	位置
低危	凭证传递方式可改进凭证通过命令行参数传递，会在进程列表(ps aux)中可见。建议改用环境变量或_dotenv_加载 `veloraChat(args[0], args[1], args[2], args.slice(3).join(' '))` → 使用 process.env.VELORA_EMAIL 和 process.env.VELORA_PASSWORD	`scripts/velora-chat.js:54`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	scripts/velora-chat.js:22 仅访问velora.cloudm8.net
浏览器	`WRITE`	`WRITE`	✓ 一致	Playwright chromium.launch() 实现声明的浏览器自动化

4 项发现

🔗

中危外部 URL 外部 URL

https://velora.cloudm8.net/login

SKILL.md:100

📧

提示邮箱邮箱地址

[email protected]

SKILL.md:33

📧

提示邮箱邮箱地址

[email protected]

SKILL.md:54

📧

提示邮箱邮箱地址

[email protected]

scripts/velora-chat.js:71

3 文件 · 7.9 KB · 268 行

Markdown 2f · 197L JavaScript 1f · 71L

├─ ▾ 📁 references

│ └─ 📝 companions.md Markdown 40L · 1.6 KB

├─ ▾ 📁 scripts

│ └─ 📜 velora-chat.js JavaScript 71L · 2.4 KB

└─ 📝 SKILL.md Markdown 157L · 3.9 KB

包名	版本	来源	已知漏洞	备注
`playwright`	`*`	npm	否	无版本锁定

✓ 声明与实际行为完全一致，无阴影功能

✓ 只访问声明的 velora.cloudm8.net 域名

✓ 无敏感路径访问（~/.ssh、.env等）

✓ 无数据外泄行为

✓ 无远程代码执行

✓ 无凭证收割行为