扫描报告
0 /100
creatok-generate-video
TikTok/AI 视频生成工具,调用 CreatOK Open Skills API 提交视频生成任务并轮询状态
纯前端 TikTok 视频生成封装,仅调用外部 CreatOK API,无越权操作,代码干净。
可以安装
可直接使用。无需任何安全限制,可授予 filesystem:WRITE + network:WRITE。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | SKILL.md: artifacts 写入 .artifacts/<run_id>/... 与代码 artifacts.js:20-22 一致 |
| 网络访问 | WRITE | WRITE | ✓ 一致 | SKILL.md 声明调用 CreatOK API,creatok-client.js:44-65 完整实现了 Bearer token 认证的 POST/GE… |
| 命令执行 | NONE | NONE | — | scripts/run.js 仅解析 argv 并调用 lib 函数,无 shell 执行 |
| 环境变量 | READ | READ | ✓ 一致 | config.js:4 读取 CREATOK_API_KEY,与 SKILL.md metadata.env 一致 |
| 技能调用 | NONE | NONE | — | 无跨 skill 调用,hand-off 仅传递上下文 |
| 剪贴板 | NONE | NONE | — | 代码中无 clipboard 相关 API 调用 |
| 浏览器 | NONE | NONE | — | 无浏览器自动化代码 |
| 数据库 | NONE | NONE | — | 无数据库操作 |
2 项发现
中危 外部 URL 外部 URL
https://www.creatok.ai lib/config.js:9 中危 外部 URL 外部 URL
https://www.creatok.ai/app/workspace/api-keys references/common-rules.md:14 目录结构
7 文件 · 28.9 KB · 851 行 JavaScript 5f · 643L
Markdown 2f · 208L
├─
▾
lib
│ ├─
artifacts.js
JavaScript
│ ├─
config.js
JavaScript
│ ├─
creatok-client.js
JavaScript
│ └─
generate-video.js
JavaScript
├─
▾
references
│ └─
common-rules.md
Markdown
├─
▾
scripts
│ └─
run.js
JavaScript
└─
SKILL.md
Markdown
安全亮点
✓ 文档与代码能力完全对齐,无声明-行为差异
✓ 无 base64 编码、eval、shell 管道等危险模式
✓ 无敏感路径访问(~/.ssh、.env 等)
✓ 凭证(CREATOK_API_KEY)仅用于向 CreatOK API 认证,无外传
✓ 网络请求仅指向已知外部服务 creatok.ai,无其他端点
✓ 用户确认门(confirmation gate)在代码中实现(scripts/run.js:50-60)
✓ artifacts 写入范围限定在 .artifacts/<run_id>/ 目录
✓ 无恶意依赖,无混淆代码,无隐藏指令