Scan Report
5 /100
daily-cost-report
Generate daily OpenClaw cost reports with breakdown by agent/model/channel
这是一个合法的 OpenClaw 成本报告生成工具,代码行为与文档声明完全一致,无恶意行为发现。
Safe to install
可直接使用。SKILL.md 准确描述了所有功能(报告生成、HTML邮件格式化、SMTP发送),权限声明合理。
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | WRITE | WRITE | ✓ Aligned | scripts/daily-cost-report.sh:89 写入 /tmp/ 临时文件 |
| Shell | WRITE | WRITE | ✓ Aligned | 脚本使用 bash 执行命令,符合声明 |
| Network | READ | WRITE | ✓ Aligned | send-cost-report.sh 使用 mail 命令发送邮件,已在文档中声明 |
| Environment | READ | READ | ✓ Aligned | OPENAI_API_KEY 在 requires.env 中声明,但脚本未实际使用 |
1 findings
Info Email 邮箱地址
[email protected] SKILL.md:30 File Tree
4 files · 19.2 KB · 684 lines Shell 3f · 504L
Markdown 1f · 180L
├─
▾
scripts
│ ├─
daily-cost-report-email.sh
Shell
│ ├─
daily-cost-report.sh
Shell
│ └─
send-cost-report.sh
Shell
└─
SKILL.md
Markdown
Dependencies 3 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
openclaw | unspecified | system binary | No | 通过 $HOME/homebrew/bin/openclaw 调用 |
jq | unspecified | system | No | 用于 JSON 处理 |
mail | unspecified | system | No | 用于邮件发送 |
Security Positives
✓ 文档与代码行为完全一致,无阴影功能
✓ 无 base64 编码、eval()、动态代码执行等混淆技术
✓ 无凭证收割或敏感数据外泄行为
✓ 无未声明的网络连接或反向 shell
✓ 邮件发送功能已在 SKILL.md 中明确声明
✓ 临时文件使用 /tmp/ 隔离,符合最佳实践
✓ 使用 jq 处理 JSON,无危险的 eval 或 shell 注入风险
✓ 脚本清理临时目录,无持久化痕迹