中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 15/100
上次扫描:4 小时前 重新扫描
15 /100
douyin-video-download
抖音视频批量下载工具 - 支持单视频、批量下载、自动去重、无水印下载
合法的抖音视频下载工具,功能与文档基本一致,使用spawn防护命令注入,无恶意行为证据,存在依赖版本未锁定等供应链风险
技能名称douyin-video-download
分析耗时39.1s
引擎pi
ClawHub Douyin Video Download v1.1.2 by franklu0819-lang
📥 445 📦 7 ⭐ 1
ClawHub 判定 可疑 dangerous_execllm_suspiciousvt_suspicious
可以安装
可用。生产环境部署时建议锁定依赖版本,确保npm install --save-exact。

安全发现 3 项

严重性 安全发现 位置
中危
npm依赖无版本锁定 供应链
package.json中所有依赖使用^前缀(如axios:"^1.6.0"),未锁定精确版本,可能在将来安装到包含漏洞的更新版本
"axios": "^1.6.0", "playwright-chromium": "^1.58.2"
→ 使用 npm install --save-exact 或 pnpm 并提交 package-lock.json
 package.json:24
低危
下载大型二进制依赖 供应链
playwright-chromium需要下载Chromium浏览器(约150MB),SKILL.md虽有说明但在受限网络环境可能失败
"playwright-chromium": "^1.58.2"
→ 确保部署环境网络畅通或提供离线安装选项
 package.json:29
提示
读取环境变量 敏感访问
scripts/download.js:9 使用require('dotenv').config()加载.env文件,SKILL.md声明不会访问用户登录信息,但会读取OUTPUT_DIR等配置
require('dotenv').config()
→ 无需修改,这是Node.js应用的常见模式
 scripts/download.js:9
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 scripts/download.js:94 fs.readFileSync读取链接列表; lib/downloader.js:68 fs.mkdirSync创…
网络访问 WRITE WRITE ✓ 一致 lib/downloader.js:119 curl请求aweme.snssdk.com; lib/parser.js启动Playwright浏览器请求抖音
命令执行 WRITE WRITE ✓ 一致 lib/downloader.js:25 spawn('curl')和spawn('yt-dlp'),已使用参数数组防止注入
5 项发现
🔗
中危 外部 URL 外部 URL
https://v.douyin.com/xxxxx
SKILL.md:46
🔗
中危 外部 URL 外部 URL
https://www.douyin.com/video/123456
SKILL.md:49
🔗
中危 外部 URL 外部 URL
https://v.douyin.com/yyyyy
SKILL.md:61
🔗
中危 外部 URL 外部 URL
https://aweme.snssdk.com/aweme/v1/play/?video_id=$
lib/downloader.js:119
🔗
中危 外部 URL 外部 URL
https://dotenvx.com
package-lock.json:209

目录结构

7 文件 · 40.9 KB · 1312 行
JSON 3f · 673L JavaScript 3f · 554L Markdown 1f · 85L
├─ 📁 lib
│ ├─ 📜 downloader.js JavaScript 156L · 4.5 KB
│ └─ 📜 parser.js JavaScript 178L · 4.7 KB
├─ 📁 scripts
│ └─ 📜 download.js JavaScript 220L · 6.0 KB
├─ 📋 _meta.json JSON 5L · 177 B
├─ 📋 package-lock.json JSON 635L · 22.2 KB
├─ 📋 package.json JSON 33L · 671 B
└─ 📝 SKILL.md Markdown 85L · 2.7 KB

依赖分析 4 项

包名版本来源已知漏洞备注
axios ^1.6.0 npm 无版本锁定
cheerio ^1.0.0-rc.12 npm 无版本锁定
dotenv ^16.3.1 npm 无版本锁定
playwright-chromium ^1.58.2 npm 无版本锁定,需下载Chromium

安全亮点

✓ 使用spawn参数数组而非exec执行命令,有效防止命令注入
✓ videoId验证使用正则/^[a-z0-9A-Z_]+$/允许列表过滤
✓ 下载后检查文件头,防止抓取到HTML反爬页面
✓ SKILL.md明确说明隐私政策,声明不涉及用户登录信息
✓ 功能单一明确,文档与代码行为一致
✓ 支持--concurrent并发控制,体现工程考虑