AI Content Repurposer Security Report — Trusted | ClawSafe

5 /100

AI Content Repurposer

将长篇内容（YouTube视频、博客文章、播客）转换为多种平台优化格式的工具

标准内容转换工具，代码透明，无恶意行为，所有操作均在声明范围内

Skill NameAI Content Repurposer

Duration35.0s

Enginepi

✓

Safe to install

可直接使用。建议审查示例凭证文本避免误配，依赖版本锁定可选优化。

Findings 2 items

Severity	Finding	Location
Low	文档示例含占位符 API 密钥 SKILL.md:257 API Integration 示例中 apiKey: 'your-openai-api-key' 为占位符，非真实凭证。属文档规范做法。 `const converter = new ContentConverter({ apiKey: 'your-openai-api-key',` → 保持现状，或在文档中添加注释说明此为占位符需替换	`SKILL.md:257`
Info	依赖版本未锁定 package.json 使用 ^ 版本范围 (axios ^1.6.0, commander ^11.0.0, cheerio ^1.0.0-rc.12)，自动更新可能引入兼容性问题但非安全风险 `"axios": "^1.6.0"` → 可选：使用固定版本以确保构建可复现性	`package.json:23`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ+WRITE`	`READ+WRITE`	✓ Aligned	bin/cli.js:54 fs.readFileSync; bin/cli.js:58 fs.writeFileSync
Network	`READ`	`READ`	✓ Aligned	src/converter.js:176 axios.get(url) 获取博客内容; src/converter.js:214 axios.post 调用 O…
Shell	`NONE`	`NONE`	—	全代码库无 subprocess/exec/spawn 调用
Environment	`READ`	`READ`	✓ Aligned	src/converter.js:7 仅读取 OPENAI_API_KEY 用于 AI 调用
Skill Invoke	`READ`	`READ`	✓ Aligned	SKILL.md 声明调用 OpenAI API，converter.js:204 实现完整的 API 调用逻辑

1 High 9 findings

🔑

High API Key 疑似硬编码凭证

apiKey: 'your-openai-api-key'

SKILL.md:257

🔗

Medium External URL 外部 URL

https://yourblog.com/post

QUICKSTART.md:41

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/version-1.0.0-blue

README.md:7

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/license-MIT-green

README.md:8

🔗

Medium External URL 外部 URL

https://img.shields.io/badge/node-%3E%3D18.0.0-brightgreen

README.md:9

🔗

Medium External URL 外部 URL

https://clawhub.ai/skills/ai-content-repurposer

README.md:294

🔗

Medium External URL 外部 URL

https://www.youtube.com/watch?v=dQw4w9WgXcQ

test/test.js:30

🔗

Medium External URL 外部 URL

https://youtu.be/dQw4w9WgXcQ

test/test.js:37

📧

Info Email 邮箱地址

[email protected]

README.md:296

File Tree

14 files · 84.4 KB · 2905 lines

Markdown 5f · 1346L JavaScript 3f · 778L JSON 5f · 754L Text 1f · 27L

├─ ▾ 📁 bin

│ └─ 📜 cli.js JavaScript 327L · 10.8 KB

├─ ▾ 📁 examples

│ ├─ 📋 batch-config.json JSON 33L · 864 B

│ └─ 📄 sample-transcript.txt Text 27L · 1.8 KB

├─ ▾ 📁 src

│ └─ 📜 converter.js JavaScript 363L · 11.0 KB

├─ ▾ 📁 test

│ └─ 📜 test.js JavaScript 88L · 2.5 KB

├─ 📋 _meta.json JSON 5L · 144 B

├─ 📋 clawhub.json JSON 65L · 1.6 KB

├─ 📝 COMPLETION_REPORT.md Markdown 337L · 9.3 KB

├─ 📝 LAUNCH_CHECKLIST.md Markdown 179L · 4.9 KB

├─ 📋 package-lock.json JSON 609L · 21.3 KB

├─ 📋 package.json JSON 42L · 1003 B

├─ 📝 QUICKSTART.md Markdown 166L · 3.8 KB

├─ 📝 README.md Markdown 327L · 6.6 KB

└─ 📝 SKILL.md Markdown 337L · 8.7 KB

Dependencies 3 items

Package	Version	Source	Known Vulns	Notes
`axios`	`^1.6.0`	npm	No	版本范围宽泛，无已知漏洞
`commander`	`^11.0.0`	npm	No	CLI 框架，版本范围宽泛
`cheerio`	`^1.0.0-rc.12`	npm	No	HTML 解析库，用于博客内容提取

Security Positives

✓ 代码结构清晰，所有功能均文档化

✓ 无 shell 执行、subprocess 或代码注入风险

✓ 无凭证收割、环境变量遍历或敏感路径访问

✓ 无隐藏的网络请求或数据外传行为

✓ OpenAI API 调用有完整错误处理和 fallback 机制

✓ 网络请求仅针对用户提供的 URL，不存在静默外部通信

Scan Report

Findings 2 items

File Tree

Dependencies 3 items

Security Positives