x-reader Security Report — Trusted | ClawSafe

5 /100

x-reader

读取并总结 X/Twitter 链接的低 Token 路由工具

X Reader 技能为合法 X/Twitter 链接读取工具，代码行为与文档声明一致，无恶意行为，仅存在轻微瑕疵（xreach 无版本锁定、预扫描误报 IP）。

Skill Namex-reader

Duration42.8s

Enginepi

✓

Safe to install

无需阻止使用。建议在文档中明确声明 xreach 版本锁定要求。

Findings 1 items

Severity	Finding	Location
Low	xreach 依赖无版本锁定 Supply Chain SKILL.md 声明依赖 xreach 但 package.json 中未声明其版本，xreach 作为外部工具通过 PATH 调用，存在供应链不确定性。 `xreach (未在 package.json 中列出，仅通过 PATH 调用)` → 在文档中明确 xreach 版本要求，或使用 npx / 固定版本路径调用	`package.json:1`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	scripts/xreader.mjs:28-33 — 仅读取 ~/.config/xreader/session.json
Network	`READ`	`READ`	✓ Aligned	scripts/xreader.mjs:93 — fetch(url) 重定向解析; scripts/xreader.mjs:136 — Playwright …
Shell	`READ`	`READ`	✓ Aligned	scripts/xreader.mjs:91 — execFile('xreach', args) 仅调用 xreach 命令
Environment	`NONE`	`NONE`	—	无 os.environ 遍历
Skill Invoke	`READ`	`READ`	✓ Aligned	scripts/xreader.mjs:91 — 调用 xreach 子命令
Clipboard	`NONE`	`NONE`	—	无剪贴板操作
Browser	`READ`	`READ`	✓ Aligned	scripts/xreader.mjs:136 — Playwright headless 浏览器访问 x.com 文章页
Database	`NONE`	`NONE`	—	无数据库操作

1 High 7 findings

📡

High IP Address 硬编码 IP 地址

122.0.0.0

scripts/xreader.mjs:253

🔗

Medium External URL 外部 URL

https://x.com/...

SKILL.md:32

🔗

Medium External URL 外部 URL

https://x.com/.../status/...

SKILL.md:44

🔗

Medium External URL 外部 URL

https://x.com/i/article/...

SKILL.md:50

🔗

Medium External URL 外部 URL

https://x.com/yangguangai/status/2033736815405121642?s=46

SKILL.md:117

🔗

Medium External URL 外部 URL

https://x.com/yangguangai/status/2033522959407878621?s=46

SKILL.md:118

🔗

Medium External URL 外部 URL

https://x.com/google/status/2031558824042058064

SKILL.md:119

File Tree

4 files · 24.4 KB · 761 lines

JavaScript 1f · 560L Markdown 1f · 136L JSON 2f · 65L

├─ ▾ 📁 scripts

│ └─ 📜 xreader.mjs JavaScript 560L · 18.5 KB

├─ 📋 package-lock.json JSON 57L · 1.6 KB

├─ 📋 package.json JSON 8L · 123 B

└─ 📝 SKILL.md Markdown 136L · 4.1 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`playwright`	`^1.53.0`	npm	No	有版本锁定，来自可信包管理器
`xreach`	`未声明`	系统 PATH	No	作为外部 CLI 工具调用，非 npm 依赖，需用户预先安装

Security Positives

✓ 文档完整：包含完整的工作流、认证路径、输出契约和限制说明

✓ 认证文件安全：session.json 以 mode 0o600 保存，chmod 后再次确认

✓ 无敏感路径遍历：仅访问 ~/.config/xreader/session.json

✓ 无数据外传：凭证仅用于 x.com 认证，不外发

✓ 无混淆代码：无 base64/eval/动态代码生成

✓ execFile 安全：使用 promisified execFile 而非 shell exec，无命令注入风险

✓ Playwright 沙箱：headless 模式运行，cookie 限制在 .x.com 域名

Scan Report

Findings 1 items

File Tree

Dependencies 2 items

Security Positives