purchase_record Security Report — Low Risk | ClawSafe

15 /100

purchase_record

采购记录管理 - 自动将采购信息写入 Excel 表格

纯本地 Excel 采购记录工具，无网络请求、无凭证访问，能力与文档基本吻合，仅存在 test.js 对不存在函数的引用瑕疵。

Skill Namepurchase_record

Duration69.8s

Enginepi

✓

Safe to install

可安全使用。建议：修复 test.js 中的错误引用（handlePurchase 不存在于 index.js）；统一 Excel 路径变量。

Findings 2 items

Severity	Finding	Location
Low	test.js 引用不存在的导出函数 Doc Mismatch scripts/test.js 第 1 行 require('./index') 后调用 handlePurchase 函数，但 index.js 的 module.exports 中不存在该导出，仅导出 async function(command, context)。运行测试会抛出 TypeError。 `const { handlePurchase } = require('./index');` → 删除 test.js 或修正为调用 module.exports 导出的主函数	`scripts/test.js:1`
Info	Excel 路径在不同文件中不一致 Priv Escalation record.py 使用 Path.home() / 'Desktop' / 'purchase_record.xlsx'（跨平台），add_purchase.py 和 add_purchase.js 使用硬编码 Windows 路径 'C:\Users\Administrator.rjazz-2022BWPUD\Desktop\purchase_record.xlsx'。当从不同用户目录运行时行为不一致。 `EXCEL_PATH = r'C:\Users\Administrator.rjazz-2022BWPUD\Desktop\purchase_record.xlsx'` → 统一使用环境变量或配置文件管理 Excel 路径	`scripts/add_purchase.py:13, scripts/add_purchase.js:18:13`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	scripts/record.py:59 wb.save(excel_path); scripts/add_purchase.js:72 await wb.xl…
Network	`NONE`	`NONE`	—	全代码库无任何网络请求（requests/urllib/curl/wget/fetch 均不存在）
Shell	`NONE`	`READ`	✓ Aligned	scripts/index.js:4 使用 child_process.exec 调用 python，但仅执行声明范围内的 python 脚本
Environment	`NONE`	`NONE`	—	无 os.environ / process.env 的遍历或敏感键值读取
Skill Invoke	`NONE`	`NONE`	—	无动态 skill 调用
Clipboard	`NONE`	`NONE`	—	无剪贴板操作
Browser	`NONE`	`NONE`	—	无浏览器相关代码
Database	`NONE`	`NONE`	—	无数据库操作

10 files · 16.7 KB · 569 lines

Python 3f · 332L JavaScript 3f · 175L Markdown 2f · 60L JSON 2f · 2L

├─ ▾ 📁 scripts

│ ├─ 📜 add_purchase.js JavaScript 74L · 2.4 KB

│ ├─ 🐍 add_purchase.py Python 125L · 3.4 KB

│ ├─ 📜 index.js JavaScript 77L · 2.8 KB

│ ├─ 🐍 main.py Python 73L · 1.8 KB

│ ├─ 🐍 record.py Python 134L · 4.0 KB

│ └─ 📜 test.js JavaScript 24L · 651 B

├─ 🔑 config.json ⚠ JSON 1L · 143 B

├─ 📋 package.json JSON 1L · 143 B

├─ 📝 README.md Markdown 36L · 814 B

└─ 📝 SKILL.md Markdown 24L · 672 B

Package	Version	Source	Known Vulns	Notes
`openpyxl`	`未声明`	pip	No	无 requirements.txt，直接导入。建议添加版本锁定
`exceljs`	`未声明`	npm	No	无 package-lock.json，package.json 中无依赖列表

✓ 无任何网络请求，无数据外泄风险

✓ 无凭证收割行为，不访问 ~/.ssh、~/.aws、.env 等敏感路径

✓ 无 base64 编码、eval、shell 管道等可疑代码模式

✓ 依赖 openpyxl 和 exceljs，均为合法且广泛使用的 Excel 操作库

✓ 所有操作均在声明的 Excel 文件范围内，filesystem:WRITE 与功能相符