AI Content Repurposer 安全扫描报告 — 可信 | ClawSafe

5 /100

AI Content Repurposer

将长篇内容（YouTube视频、博客文章、播客）转换为多种平台优化格式的工具

标准内容转换工具，代码透明，无恶意行为，所有操作均在声明范围内

技能名称AI Content Repurposer

分析耗时35.0s

引擎pi

✓

可以安装

可直接使用。建议审查示例凭证文本避免误配，依赖版本锁定可选优化。

安全发现 2 项

严重性	安全发现	位置
低危	文档示例含占位符 API 密钥 SKILL.md:257 API Integration 示例中 apiKey: 'your-openai-api-key' 为占位符，非真实凭证。属文档规范做法。 `const converter = new ContentConverter({ apiKey: 'your-openai-api-key',` → 保持现状，或在文档中添加注释说明此为占位符需替换	`SKILL.md:257`
提示	依赖版本未锁定 package.json 使用 ^ 版本范围 (axios ^1.6.0, commander ^11.0.0, cheerio ^1.0.0-rc.12)，自动更新可能引入兼容性问题但非安全风险 `"axios": "^1.6.0"` → 可选：使用固定版本以确保构建可复现性	`package.json:23`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ+WRITE`	`READ+WRITE`	✓ 一致	bin/cli.js:54 fs.readFileSync; bin/cli.js:58 fs.writeFileSync
网络访问	`READ`	`READ`	✓ 一致	src/converter.js:176 axios.get(url) 获取博客内容; src/converter.js:214 axios.post 调用 O…
命令执行	`NONE`	`NONE`	—	全代码库无 subprocess/exec/spawn 调用
环境变量	`READ`	`READ`	✓ 一致	src/converter.js:7 仅读取 OPENAI_API_KEY 用于 AI 调用
技能调用	`READ`	`READ`	✓ 一致	SKILL.md 声明调用 OpenAI API，converter.js:204 实现完整的 API 调用逻辑

1 高危 9 项发现

🔑

高危 API 密钥疑似硬编码凭证

apiKey: 'your-openai-api-key'

SKILL.md:257

🔗

中危外部 URL 外部 URL

https://yourblog.com/post

QUICKSTART.md:41

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/version-1.0.0-blue

README.md:7

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/license-MIT-green

README.md:8

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/node-%3E%3D18.0.0-brightgreen

README.md:9

🔗

中危外部 URL 外部 URL

https://clawhub.ai/skills/ai-content-repurposer

README.md:294

🔗

中危外部 URL 外部 URL

https://www.youtube.com/watch?v=dQw4w9WgXcQ

test/test.js:30

🔗

中危外部 URL 外部 URL

https://youtu.be/dQw4w9WgXcQ

test/test.js:37

📧

提示邮箱邮箱地址

[email protected]

README.md:296

目录结构

14 文件 · 84.4 KB · 2905 行

Markdown 5f · 1346L JavaScript 3f · 778L JSON 5f · 754L Text 1f · 27L

├─ ▾ 📁 bin

│ └─ 📜 cli.js JavaScript 327L · 10.8 KB

├─ ▾ 📁 examples

│ ├─ 📋 batch-config.json JSON 33L · 864 B

│ └─ 📄 sample-transcript.txt Text 27L · 1.8 KB

├─ ▾ 📁 src

│ └─ 📜 converter.js JavaScript 363L · 11.0 KB

├─ ▾ 📁 test

│ └─ 📜 test.js JavaScript 88L · 2.5 KB

├─ 📋 _meta.json JSON 5L · 144 B

├─ 📋 clawhub.json JSON 65L · 1.6 KB

├─ 📝 COMPLETION_REPORT.md Markdown 337L · 9.3 KB

├─ 📝 LAUNCH_CHECKLIST.md Markdown 179L · 4.9 KB

├─ 📋 package-lock.json JSON 609L · 21.3 KB

├─ 📋 package.json JSON 42L · 1003 B

├─ 📝 QUICKSTART.md Markdown 166L · 3.8 KB

├─ 📝 README.md Markdown 327L · 6.6 KB

└─ 📝 SKILL.md Markdown 337L · 8.7 KB

依赖分析 3 项

包名	版本	来源	已知漏洞	备注
`axios`	`^1.6.0`	npm	否	版本范围宽泛，无已知漏洞
`commander`	`^11.0.0`	npm	否	CLI 框架，版本范围宽泛
`cheerio`	`^1.0.0-rc.12`	npm	否	HTML 解析库，用于博客内容提取

安全亮点

✓ 代码结构清晰，所有功能均文档化

✓ 无 shell 执行、subprocess 或代码注入风险

✓ 无凭证收割、环境变量遍历或敏感路径访问

✓ 无隐藏的网络请求或数据外传行为

✓ OpenAI API 调用有完整错误处理和 fallback 机制

✓ 网络请求仅针对用户提供的 URL，不存在静默外部通信