扫描报告
0 /100
chrome-cdp-skill
Interacts with a local Chrome-family browser session over CDP for debugging and page inspection
合法的 Chrome DevTools Protocol CLI 工具,仅通过本地 WebSocket 与 Chrome 通信,功能与文档完全一致,无恶意行为。
可以安装
该技能安全可用,预扫描标记的 base64 IOC 为误报(仅为截图 PNG 数据解码),建议通过。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 网络访问 | READ | READ | ✓ 一致 | scripts/cdp.mjs:65-70 — WebSocket 连接至 127.0.0.1 的 Chrome 远程调试端口 |
| 文件系统 | WRITE | WRITE | ✓ 一致 | scripts/cdp.mjs:314 — 将截图写入 RUNTIME_DIR,目录权限 0o700,文件 0o600 |
| 浏览器 | WRITE | WRITE | ✓ 一致 | scripts/cdp.mjs — eval/click/type/nav 等 CDP 操作,SKILL.md 完整声明 |
| 命令执行 | NONE | WRITE | ✓ 一致 | scripts/cdp.mjs:557 — spawn 启动内部 daemon 进程(detached, stdio:ignore),用于本地 IPC,非外部命… |
1 严重 1 项发现
严重 编码执行 Base64 编码执行(代码混淆)
Buffer.from(data, 'base64' scripts/cdp.mjs:314 目录结构
3 文件 · 35.4 KB · 992 行 JavaScript 1f · 870L
Markdown 1f · 116L
JSON 1f · 6L
├─
▾
scripts
│ └─
cdp.mjs
JavaScript
├─
package.json
JSON
└─
SKILL.md
Markdown
安全亮点
✓ 使用 Node.js 22 内置 WebSocket,无外部依赖,消除供应链风险
✓ 导航命令强制校验 URL 仅限 http/https,防止 file: 协议滥用
✓ 文件写入路径限定在 RUNTIME_DIR(~/.cache/cdp),权限 0o700/0o600
✓ 进程间通信通过 Unix socket NDJSON 完成,不暴露网络端口
✓ Daemon 进程 20 分钟无活动自动退出,防止持久化风险
✓ evalraw 命令文档明确声明为 raw CDP passthrough,用户已知风险
✓ 代码结构清晰,无凭证收割、无远程数据外传、无编码混淆