扫描报告
5 /100
daily-cost-report
Generate daily OpenClaw cost reports with breakdown by agent/model/channel
这是一个合法的 OpenClaw 成本报告生成工具,代码行为与文档声明完全一致,无恶意行为发现。
可以安装
可直接使用。SKILL.md 准确描述了所有功能(报告生成、HTML邮件格式化、SMTP发送),权限声明合理。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | scripts/daily-cost-report.sh:89 写入 /tmp/ 临时文件 |
| 命令执行 | WRITE | WRITE | ✓ 一致 | 脚本使用 bash 执行命令,符合声明 |
| 网络访问 | READ | WRITE | ✓ 一致 | send-cost-report.sh 使用 mail 命令发送邮件,已在文档中声明 |
| 环境变量 | READ | READ | ✓ 一致 | OPENAI_API_KEY 在 requires.env 中声明,但脚本未实际使用 |
1 项发现
提示 邮箱 邮箱地址
[email protected] SKILL.md:30 目录结构
4 文件 · 19.2 KB · 684 行 Shell 3f · 504L
Markdown 1f · 180L
├─
▾
scripts
│ ├─
daily-cost-report-email.sh
Shell
│ ├─
daily-cost-report.sh
Shell
│ └─
send-cost-report.sh
Shell
└─
SKILL.md
Markdown
依赖分析 3 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
openclaw | unspecified | system binary | 否 | 通过 $HOME/homebrew/bin/openclaw 调用 |
jq | unspecified | system | 否 | 用于 JSON 处理 |
mail | unspecified | system | 否 | 用于邮件发送 |
安全亮点
✓ 文档与代码行为完全一致,无阴影功能
✓ 无 base64 编码、eval()、动态代码执行等混淆技术
✓ 无凭证收割或敏感数据外泄行为
✓ 无未声明的网络连接或反向 shell
✓ 邮件发送功能已在 SKILL.md 中明确声明
✓ 临时文件使用 /tmp/ 隔离,符合最佳实践
✓ 使用 jq 处理 JSON,无危险的 eval 或 shell 注入风险
✓ 脚本清理临时目录,无持久化痕迹