News Brief - 新闻简报安全扫描报告 — 可信 | ClawSafe

5 /100

News Brief - 新闻简报

中文新闻门户列表抓取，输出Markdown简报或JSON/RSS，无需API Key

合法的中文新闻聚合工具，代码质量高，安全机制完善（URL白名单+私网拦截），无文档-行为差异，无恶意代码或阴影功能。

技能名称News Brief - 新闻简报

分析耗时30.0s

引擎pi

✓

可以安装

可安全使用。预扫描标记的硬编码IP实为SKILL.md中的占位示例(122.0.0.0)，代码中无此IP且强制域名解析防止IP直连。

安全发现 1 项

严重性	安全发现	位置
低危	pip install 无版本锁定（文档层） SKILL.md 中 'pip install beautifulsoup4' 缺少版本锁定，但实际代码仅依赖该库作为可选解析器。 `pip install beautifulsoup4` → 建议改为 'pip install beautifulsoup4>=4.12.0' 防止依赖劫持	`SKILL.md:25`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`READ`	✓ 一致	fetch.py:305 仅通过 @filename 读取配置文件，属标准CLI行为
网络访问	`READ`	`READ`	✓ 一致	fetch.py:167 使用 urllib.request.urlopen 进行 GET 请求，符合声明
命令执行	`NONE`	`NONE`	—	代码无 subprocess/os.system 调用
环境变量	`NONE`	`READ`	✓ 一致	fetch.py:133-143 仅读取配置类环境变量(NEWS_CN_UA等)，非敏感遍历

1 高危 20 项发现

📡

高危 IP 地址硬编码 IP 地址

122.0.0.0

SKILL.md:31

🔗

中危外部 URL 外部 URL

https://www.jisuapi.com

SKILL.md:11

🔗

中危外部 URL 外部 URL

https://www.jisuapi.com/

SKILL.md:129

🔗

中危外部 URL 外部 URL

https://www.36kr.com/newsflashes

fetch.py:36

🔗

中危外部 URL 外部 URL

https://www.jiqizhixin.com

fetch.py:37

🔗

中危外部 URL 外部 URL

https://www.qbitai.com

fetch.py:38

🔗

中危外部 URL 外部 URL

https://www.ithome.com

fetch.py:39

🔗

中危外部 URL 外部 URL

https://news.163.com/

fetch.py:41

🔗

中危外部 URL 外部 URL

https://tech.163.com/

fetch.py:42

🔗

中危外部 URL 外部 URL

https://news.sina.com.cn/

fetch.py:44

🔗

中危外部 URL 外部 URL

https://tech.sina.com.cn/

fetch.py:45

🔗

中危外部 URL 外部 URL

https://www.guancha.cn

fetch.py:46

🔗

中危外部 URL 外部 URL

https://www.thepaper.cn

fetch.py:47

🔗

中危外部 URL 外部 URL

https://www.solidot.org

fetch.py:48

🔗

中危外部 URL 外部 URL

https://techcrunch.com

fetch.py:49

🔗

中危外部 URL 外部 URL

https://www.theverge.com

fetch.py:50

🔗

中危外部 URL 外部 URL

https://feeds.bbci.co.uk/zhongwen/trad/rss.xml

fetch.py:58

🔗

中危外部 URL 外部 URL

https://feeds.bbci.co.uk/zhongwen/simp/rss.xml

fetch.py:59

🔗

中危外部 URL 外部 URL

https://www.solidot.org/index.rss

fetch.py:60

📧

提示邮箱邮箱地址

[email protected]

SKILL.md:12

目录结构

2 文件 · 31.9 KB · 874 行

Python 1f · 735L Markdown 1f · 139L

├─ 🐍 fetch.py Python 735L · 24.8 KB

└─ 📝 SKILL.md Markdown 139L · 7.1 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`beautifulsoup4`	`*`	pip	否	SKILL.md中无版本锁定声明，建议指定最低版本

安全亮点

✓ URL安全验证完善：仅允许http(s)，强制域名解析防止IP直连

✓ 私网/本机地址默认拦截（NEWS_CN_BLOCK_PRIVATE=1）

✓ 支持域名白名单（NEWS_CN_ALLOW_HOSTS）

✓ User-Agent可配置，增强反爬对抗能力

✓ 代码无subprocess/eval/命令注入风险

✓ 不访问~/.ssh、.env等敏感路径

✓ 不遍历环境变量收割凭证

✓ 不外传任何数据