Name: slide-editor Security Report — Low Risk | ClawSafe
Item: slide-editor
Rating: 80
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

20 /100

slide-editor

Visual editor for HTML presentations. Self-contained, offline-capable, designed for AI agent control.

Slide Editor 是一个合法的 HTML 演示文稿可视化编辑器，核心功能清晰。唯一风险点是文档中建议使用 curl|bash 安装 bun，这是安装工具的标准方式（非恶意行为）。代码本身无恶意行为。

Skill Nameslide-editor

Duration34.1s

Enginepi

ClawHub Slide Editor v0.2.0 by dtacheng

📥 218 📦 1 ⭐ 1

ClawHub Verdict Suspicious dangerous_execllm_suspicious

✓

Safe to install

可信任使用。建议：1) 使用官方包管理器安装 bun 而非 curl|bash；2) 代码本身无需修改。

Findings 1 items

Severity	Finding	Location
Low	文档中的 curl\|bash 安装建议 Doc Mismatch SKILL.md 建议用户使用 curl -fsSL https://bun.sh/install \| bash 安装 bun，这是安全反模式但属于安装官方工具的标准方式，非恶意行为。 `curl -fsSL https://bun.sh/install \| bash` → 建议改为使用官方包管理器（npm、brew 等）安装 bun，或在文档中明确警告用户验证脚本来源	`SKILL.md:23`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`READ+WRITE`	✓ Aligned	inject.ts:56-61 读取并写入 HTML 文件
Shell	`NONE`	`READ`	✓ Aligned	inject.ts:149-164 仅用于打开浏览器，非任意命令执行
Network	`NONE`	`NONE`	—	代码无网络请求，仅 bun.sh/install 作为文档参考
Browser	`NONE`	`WRITE`	✓ Aligned	inject.ts:149-164 通过 open/xdg-open/start 打开浏览器用于预览

1 Critical 2 findings

💀

Critical Dangerous Command 危险 Shell 命令

curl -fsSL https://bun.sh/install | bash

SKILL.md:23

🔗

Medium External URL 外部 URL

https://bun.sh/install

SKILL.md:23

File Tree

27 files · 479.7 KB · 8614 lines

HTML 5f · 4020L TypeScript 18f · 4003L Markdown 2f · 523L JSON 2f · 68L

├─ ▾ 📁 src

│ ├─ ▾ 📁 components

│ │ ├─ 📜 index.ts TypeScript 3L · 141 B

│ │ ├─ 📜 PropertiesPanel.ts TypeScript 312L · 12.2 KB

│ │ ├─ 📜 SlideNavigator.ts TypeScript 208L · 6.8 KB

│ │ └─ 📜 Toolbar.ts TypeScript 198L · 7.4 KB

│ ├─ ▾ 📁 core

│ │ ├─ 📜 DragManager.ts TypeScript 99L · 2.8 KB

│ │ ├─ 📜 HistoryManager.ts TypeScript 53L · 1.3 KB

│ │ ├─ 📜 index.ts TypeScript 5L · 243 B

│ │ ├─ 📜 ResizeManager.ts TypeScript 250L · 7.6 KB

│ │ ├─ 📜 SelectionManager.ts TypeScript 121L · 3.5 KB

│ │ └─ 📜 TextEditor.ts TypeScript 111L · 3.0 KB

│ ├─ ▾ 📁 i18n

│ │ └─ 📜 index.ts TypeScript 1L · 78 B

│ ├─ ▾ 📁 serialization

│ │ ├─ 📜 Exporter.ts TypeScript 579L · 18.0 KB

│ │ └─ 📜 index.ts TypeScript 1L · 53 B

│ ├─ 📜 i18n.ts TypeScript 133L · 4.1 KB

│ ├─ 📜 index.ts TypeScript 1162L · 36.1 KB

│ ├─ 📜 styles.ts TypeScript 451L · 9.2 KB

│ └─ 📜 types.ts TypeScript 123L · 2.8 KB

├─ ▾ 📁 test

│ ├─ 📄 clean-test.html HTML 819L · 70.7 KB

│ ├─ 📄 debug.html HTML 829L · 70.8 KB

│ ├─ 📄 presentation-clean.html HTML 774L · 65.0 KB

│ ├─ 📄 presentation-debug.html HTML 799L · 69.1 KB

│ └─ 📄 presentation.html HTML 799L · 69.0 KB

├─ 📜 inject.ts TypeScript 193L · 5.2 KB

├─ 📋 package.json JSON 50L · 1.3 KB

├─ 📝 README.md Markdown 186L · 4.8 KB

├─ 📝 SKILL.md Markdown 337L · 8.1 KB

└─ 📋 tsconfig.json JSON 18L · 444 B

Dependencies 4 items

Package	Version	Source	Known Vulns	Notes
`esbuild`	`^0.20.0`	devDependency	No	版本锁定
`typescript`	`^5.4.0`	devDependency	No	版本锁定
`puppeteer`	`^24.39.1`	devDependency	No	版本锁定
`@types/node`	`^20.0.0`	devDependency	No	版本锁定

Security Positives

✓ 代码结构清晰，功能单一明确（HTML 编辑器注入）

✓ 无凭证收割、环境变量遍历或敏感路径访问

✓ 无外部网络通信代码

✓ 无混淆、编码或反分析技术

✓ 无持久化或后门机制

✓ 依赖声明完整（esbuild、typescript）

✓ inject.ts 的 execSync 仅用于打开浏览器，范围受限

Scan Report

Findings 1 items

File Tree

Dependencies 4 items

Security Positives