Name: zhy-wechat-publish Security Report — Trusted | ClawSafe
Item: zhy-wechat-publish
Rating: 90
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

10 /100

zhy-wechat-publish

微信公众号草稿箱发布技能，将 HTML 文章发布到微信公众号草稿箱

合法的微信公众号草稿发布技能，代码行为与文档声明一致，无恶意行为。存在轻微瑕疵（权限声明宽泛、调用外部脚本未显式声明），但不影响安全。

Skill Namezhy-wechat-publish

Duration42.8s

Enginepi

ClawHub Zhy Wechat Publish v0.1.0 by zhylq

📥 150 📦 1

ClawHub Verdict Suspicious dangerous_execvt_suspicious

✓

Safe to install

可安全使用。建议在 SKILL.md 中补充声明会调用外部 bun 生图脚本，以及 .env 加载路径的完整说明。

Findings 2 items

Severity	Finding	Location
Low	外部脚本调用未完全声明 Doc Mismatch SKILL.md 提到'自动封面生成步骤会复用现有 bun 生图脚本'，但未明确说明调用路径 (zhy-article-illustrator/scripts/image-gen.ts) 和执行方式。实际代码通过 spawnSync('bun', [...]) 执行，存在调用外部项目的能力。 `runCommand('bun', [imageGenScript, '--prompt', prompt, '--output', coverPath, '--ar', aspectRatio], {...})` → 建议在 SKILL.md 核心能力部分明确说明：'自动生成封面时调用 zhy-article-illustrator 项目的 image-gen.ts 脚本'	`scripts/publish_with_cover.js:122`
Low	.env 加载路径与文档不完全一致 Doc Mismatch SKILL.md 说明'.env 至少包含 WECHAT_APP_ID'，代码实际从三个路径加载 .env（技能目录、工作目录、项目根目录向上三级），文档仅提到'本地 skill 目录'。 `const candidates = [path.resolve(skillDir, '.env'), path.resolve(process.cwd(), '.env'), path.resolve(skillDir, '..', '..', '..', '.env')]` → 文档化 .env 搜索路径顺序	`scripts/upload_image.js:13`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	所有脚本均读取 HTML/图片文件
Network	`WRITE`	`WRITE`	✓ Aligned	所有脚本均向 api.weixin.qq.com 发送请求
Shell	`NONE`	`WRITE`	✓ Aligned	scripts/publish_with_cover.js:122 使用 spawnSync 执行 bun 命令，但未在 SKILL.md 显式声明
Environment	`READ`	`READ`	✓ Aligned	所有脚本通过 loadEnv() 读取 .env 中的 WECHAT_APP_ID/WECHAT_APP_SECRET

4 findings

🔗

Medium External URL 外部 URL

https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=$

scripts/upload_image.js:70

🔗

Medium External URL 外部 URL

https://api.weixin.qq.com/cgi-bin/material/add_material?access_token=$

scripts/upload_image.js:79

🔗

Medium External URL 外部 URL

https://api.weixin.qq.com/cgi-bin/draft/add?access_token=$

scripts/wechat_draft.js:135

🔗

Medium External URL 外部 URL

https://api.weixin.qq.com/cgi-bin/media/uploadimg?access_token=$

scripts/wechat_draft.js:316

File Tree

5 files · 39.7 KB · 1208 lines

JavaScript 3f · 963L Markdown 2f · 245L

├─ ▾ 📁 scripts

│ ├─ 📜 publish_with_cover.js JavaScript 297L · 9.8 KB

│ ├─ 📜 upload_image.js JavaScript 201L · 6.9 KB

│ └─ 📜 wechat_draft.js JavaScript 465L · 16.0 KB

├─ 📝 README.md Markdown 111L · 2.0 KB

└─ 📝 SKILL.md Markdown 134L · 4.8 KB

Security Positives

✓ 零外部依赖，仅使用 Node.js 内置模块 (fs, path, https, http, child_process)

✓ 所有网络请求均为微信官方 API (api.weixin.qq.com)，无第三方或可疑端点

✓ 凭证仅用于获取 access_token，不外传任何敏感信息

✓ spawnSync 使用 shell:false 配置，防止注入攻击

✓ 支持 --write-env 回写 .env 功能，文档已声明

✓ 代码结构清晰，错误处理完善

Scan Report

Findings 2 items

File Tree

Security Positives