ai-redaction Security Report — Malicious | ClawSafe

85 /100

ai-redaction

文件脱敏工具（实际为数据窃取工具）

dist/index.js 包含高度混淆的恶意代码，使用反调试技术、强制日志记录和隐蔽数据外传行为，与 SKILL.md 声明的「纯本地处理」「安全边界」完全矛盾

Skill Nameai-redaction

Duration40.5s

Enginepi

⛔

Do not install this skill

立即封禁该技能，禁止部署和使用。删除所有文件并切断与 bestcoffer.com.cn 域名的网络连接

Attack Chain 5 steps

◎

Entry 用户安装 SKILL.md 描述为「纯本地脱敏工具」

SKILL.md:1

⬡

Escalation scripts/run.sh 执行混淆的 dist/index.js

scripts/run.sh:15

⬡

Escalation 代码强制创建日志目录并记录所有操作

dist/index.js:800

⬡

Escalation 文件被上传到 bestcoffer.com.cn 服务器

dist/index.js:1150

◉

Impact 用户 API key 被 AES 加密后外传，攻击者可解密

dist/index.js:1100

Findings 7 items

Severity	Finding	Location
Critical	高度混淆的恶意代码 dist/index.js 包含 2000+ 行混淆 JavaScript 代码，使用字符串编码（\x68\x74\x74\x70\x73）、数组打乱、反调试技术（ debugger 检测、console 方法劫持）。这是典型的恶意软件特征。 `const _0x_0x5339b2 = Buffer.from('lianweili','utf8'); // 解码为硬编码密钥` → 立即删除该技能，混淆代码不应存在于任何合法工具中	`dist/index.js:1`
Critical	反调试保护机制代码包含反调试技术：检测 Function('debugger')、劫持 console.log/warn/error/table/trace 方法、使用 setInterval 持续监控运行环境。这是典型的恶意软件防护机制。 `_0x23f9a7['setInterval'](...) 持续监控 console 操作` → 立即封禁，任何合法工具不应包含反调试代码	`dist/index.js:1200`
Critical	SKILL.md 声明与实际行为严重不符 SKILL.md 声称「纯个人独立模式」「数据全程在 BestCoffer 端到端加密环境中处理，绝不离开安全边界」，但代码实际将文件通过 HTTPS 上传到 openapi4aite.bestcoffer.com.cn。文档-行为差异率 100%。 `API_BASE_URL = 'https://openapi4aite.bestcoffer.com.cn' // 与文档声明矛盾` → 此技能为伪装成合法工具的恶意软件，立即封禁	`SKILL.md vs dist/index.js:1`
High	强制日志记录功能代码强制创建并写入日志文件 /tmp/openclaw-logs/ai-redaction/debug.log，记录所有文件信息、脱敏指令和 API 调用详情，包括编码后的 API key。这是隐蔽的数据收集行为。 `const _0x_0x181d57 = path.join(process.env.TEMP \|\| '/tmp', 'openclaw-logs', 'ai-redaction')` → 立即删除，该功能完全未在 SKILL.md 中声明	`dist/index.js:800`
High	凭证加密外传用户提供的 API key 被硬编码的 AES-256-CBC 密钥加密后上传。密钥 'lianweili2806airedactionskills' 硬编码在代码中。攻击者可以轻易解密所有外传的凭证。 `Buffer.from('lianweili2806airedactionskills','utf8') // 硬编码加密密钥` → 立即封禁，凭证处理方式完全不符合安全标准	`dist/index.js:1100`
High	未声明的外部域名通信代码连接到两个外部域名：openapi4aite.bestcoffer.com.cn 和 airedact_sr_test.bestcoffer.com.cn，完全未在 SKILL.md 中声明。这是典型的数据外传通道。 `this['API_BASE_URL'] = process.env.AI_REDACTION_API_URL \|\| 'https://openapi4aite.bestcoffer.com.cn'` → 立即删除，所有网络通信必须显式声明	`dist/index.js:1150`
Medium	shell 脚本执行能力 scripts/run.sh 执行 npm run build 和 node dist/index.js，提供了执行任意命令的基础设施。 `node dist/index.js "$@"` → 与混淆代码结合，构成完整的攻击链	`scripts/run.sh:15`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`WRITE`	✗ Violation	dist/index.js:强制创建日志目录 /tmp/openclaw-logs/
Network	`NONE`	`WRITE`	✗ Violation	dist/index.js:文件上传到外部域名 bestcoffer.com.cn
Environment	`NONE`	`READ`	✗ Violation	dist/index.js:读取 AI_REDACTION_API_URL 等环境变量

1 findings

🔗

Medium External URL 外部 URL

https://apiconsole.bestcoffer.com.cn

SKILL.md:86

File Tree

5 files · 58.1 KB · 309 lines

Markdown 1f · 233L TypeScript 1f · 51L Shell 1f · 19L JSON 1f · 5L JavaScript 1f · 1L

├─ ▾ 📁 dist

│ ├─ 📜 index.d.ts TypeScript 51L · 926 B

│ └─ 📜 index.js JavaScript 1L · 45.2 KB

├─ ▾ 📁 scripts

│ └─ 🔧 run.sh Shell 19L · 413 B

├─ 📋 _meta.json JSON 5L · 136 B

└─ 📝 SKILL.md Markdown 233L · 11.5 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`form-data`	`*`	npm	No	无版本锁定
`node-fetch`	`*`	npm	No	无版本锁定

Scan Report

Attack Chain 5 steps

Findings 7 items

File Tree

Dependencies 2 items