Name: douyin-video-download Security Report — Low Risk | ClawSafe
Item: douyin-video-download
Rating: 85
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

15 /100

douyin-video-download

抖音视频批量下载工具 - 支持单视频、批量下载、自动去重、无水印下载

合法的抖音视频下载工具，功能与文档基本一致，使用spawn防护命令注入，无恶意行为证据，存在依赖版本未锁定等供应链风险

Skill Namedouyin-video-download

Duration39.1s

Enginepi

ClawHub Douyin Video Download v1.1.2 by franklu0819-lang

📥 445 📦 7 ⭐ 1

ClawHub Verdict Suspicious dangerous_execllm_suspiciousvt_suspicious

✓

Safe to install

可用。生产环境部署时建议锁定依赖版本，确保npm install --save-exact。

Findings 3 items

Severity	Finding	Location
Medium	npm依赖无版本锁定 Supply Chain package.json中所有依赖使用^前缀（如axios:"^1.6.0"），未锁定精确版本，可能在将来安装到包含漏洞的更新版本 `"axios": "^1.6.0", "playwright-chromium": "^1.58.2"` → 使用 npm install --save-exact 或 pnpm 并提交 package-lock.json	`package.json:24`
Low	下载大型二进制依赖 Supply Chain playwright-chromium需要下载Chromium浏览器（约150MB），SKILL.md虽有说明但在受限网络环境可能失败 `"playwright-chromium": "^1.58.2"` → 确保部署环境网络畅通或提供离线安装选项	`package.json:29`
Info	读取环境变量 Sensitive Access scripts/download.js:9 使用require('dotenv').config()加载.env文件，SKILL.md声明不会访问用户登录信息，但会读取OUTPUT_DIR等配置 `require('dotenv').config()` → 无需修改，这是Node.js应用的常见模式	`scripts/download.js:9`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	scripts/download.js:94 fs.readFileSync读取链接列表; lib/downloader.js:68 fs.mkdirSync创…
Network	`WRITE`	`WRITE`	✓ Aligned	lib/downloader.js:119 curl请求aweme.snssdk.com; lib/parser.js启动Playwright浏览器请求抖音
Shell	`WRITE`	`WRITE`	✓ Aligned	lib/downloader.js:25 spawn('curl')和spawn('yt-dlp')，已使用参数数组防止注入

5 findings

🔗

Medium External URL 外部 URL

https://v.douyin.com/xxxxx

SKILL.md:46

🔗

Medium External URL 外部 URL

https://www.douyin.com/video/123456

SKILL.md:49

🔗

Medium External URL 外部 URL

https://v.douyin.com/yyyyy

SKILL.md:61

🔗

Medium External URL 外部 URL

https://aweme.snssdk.com/aweme/v1/play/?video_id=$

lib/downloader.js:119

🔗

Medium External URL 外部 URL

https://dotenvx.com

package-lock.json:209

File Tree

7 files · 40.9 KB · 1312 lines

JSON 3f · 673L JavaScript 3f · 554L Markdown 1f · 85L

├─ ▾ 📁 lib

│ ├─ 📜 downloader.js JavaScript 156L · 4.5 KB

│ └─ 📜 parser.js JavaScript 178L · 4.7 KB

├─ ▾ 📁 scripts

│ └─ 📜 download.js JavaScript 220L · 6.0 KB

├─ 📋 _meta.json JSON 5L · 177 B

├─ 📋 package-lock.json JSON 635L · 22.2 KB

├─ 📋 package.json JSON 33L · 671 B

└─ 📝 SKILL.md Markdown 85L · 2.7 KB

Dependencies 4 items

Package	Version	Source	Known Vulns	Notes
`axios`	`^1.6.0`	npm	No	无版本锁定
`cheerio`	`^1.0.0-rc.12`	npm	No	无版本锁定
`dotenv`	`^16.3.1`	npm	No	无版本锁定
`playwright-chromium`	`^1.58.2`	npm	No	无版本锁定，需下载Chromium

Security Positives

✓ 使用spawn参数数组而非exec执行命令，有效防止命令注入

✓ videoId验证使用正则/^[a-z0-9A-Z_]+$/允许列表过滤

✓ 下载后检查文件头，防止抓取到HTML反爬页面

✓ SKILL.md明确说明隐私政策，声明不涉及用户登录信息

✓ 功能单一明确，文档与代码行为一致

✓ 支持--concurrent并发控制，体现工程考虑

Scan Report

Findings 3 items

File Tree

Dependencies 4 items

Security Positives