by 安全扫描
OpenClaw
可疑
medium confidence该包是一个本地 GUI OSINT 工具,基本符合描述,但存在一致性和安全问题(缺失/不正确的依赖声明、不完整的安装指令、明文存储 API 密钥和任意 URL 获取行为),建议在使用前进行审查。
评估建议
["验证源代码仓库并自行或由可信任的审查者审查代码(Search_Viewer.py 和 iconhash.py);包所有者在此处未明确建立。","SKILL.md 和 _meta.json 下报了依赖项。运行前,检查导入语句并安装所需库(shodan、mmh3、configobj、jsonpath 等),或在可丢弃环境(VM 或容器)中运行。","API 密钥存储在本地 config.ini 中的明文中。不要使用生产/特权凭证。尽可能使用一次性或作用域 API 密钥,并限制文件权限(chmod 600)。使用后旋转密钥。","iconhash 功能向用户提供的 URL 发出 HTTP GET 请求。可以滥用此功能来探测内部网络服务(类似 SSRF 行为)。仅查询可信任的 URL,并考虑在隔离网络上运行应用程序。","如果计划用于授权测试,确保您对目标具有授权并遵守法律/法规要求。若要继续:在隔离 VM 中运行应用程序,确认并安装代码中找到的所有实际 Python 依赖项,检查源中的网络调用,并避免输入敏感凭证,直到您对代码感到舒适。"]...详细分析 ▾
ℹ 用途与能力
代码实现了一个聚合 Fofa/Hunter/Shodan/Quake/Zoomeye 的桌面 GUI(与描述一致)。然而,元数据和 SKILL.md 只列出了 pyside2 和 requests,而代码导入了其他库(shodan、mmh3、configobj、jsonpath、configparser 等)。此不匹配表明提供的指令和元数据不完整或与实际代码不一致。
⚠ 指令范围
运行时指令告诉用户克隆和运行应用程序,并仅安装 pyside2 和 requests。应用程序读取和写入本地 config.ini 来存储 API 密钥(无加密)并提供 UI 功能来获取任意 URL(iconhash 使用用户输入的 requests.get)。存储 API 密钥在明文中和获取任意 URL(可以到达内部资源)是安全敏感行为,SKILL.md 没有充分警告。
ℹ 安装机制
没有自动化安装规格(降低平台安装风险),但 SKILL.md 的 pip 安装行相对于代码的导入是不完整的。按照指令的用户可能会遇到缺失依赖错误或安装错误的包集。
ℹ 凭证需求
技能在元数据中不请求环境变量或外部凭证(适当)。然而,它确实要求用户通过 GUI 提供多个第三方 API 密钥,这些密钥存储在本地 config.ini 中的明文中——这在功能上是预期的,但值得注意,因为这些密钥授予网络访问权限并应受到保护。
✓ 持久化与权限
技能未标记 always:true,并不请求系统范围的配置或其他技能的凭证。它作为本地应用程序运行,并在本地文件中保持配置;它似乎没有声称提升平台特权。
⚠ Search_Viewer.py:414
检测到动态代码执行。
⚠ resources_rc.py:13
检测到潜在的混淆有效载荷。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv4.3.02026/3/12
初始公开发布:Search Viewer v4.3.0 - 聚合多个网络空间侦测平台(Fofa、Hunter、Shodan、360 Quake、Zoomeye) - 支持资产发现、端口/服务枚举、子域名收集和指纹识别 - 包含 CLI 使用指南、API 密钥配置和查询语法示例 - 强调合法、合乎道德的使用并提供合规性考虑
● 无害
安装命令 点击复制
官方npx clawhub@latest install search-viewer
镜像加速npx clawhub@latest install search-viewer --registry https://cn.clawhub-mirror.com
技能文档
介绍
Search Viewer 是一个聚合 Fofa、Hunter、Shodan 等空间测绘平台 API 的工具,辅助渗透测试信息收集和资产发现。功能
- 资产发现
- 端口/服务枚举
- 子域名收集
- 指纹识别
使用指南
- 克隆仓库并运行应用程序
- 配置 API 密钥(在 config.ini 中)
- 参考查询语法示例进行操作
注意
- 请合法、合乎道德地使用本工具
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制