Name: slide-editor 安全扫描报告 — 低风险 | ClawSafe
Item: slide-editor
Rating: 80
Author: ClawSafe

20 /100

slide-editor

Visual editor for HTML presentations. Self-contained, offline-capable, designed for AI agent control.

Slide Editor 是一个合法的 HTML 演示文稿可视化编辑器，核心功能清晰。唯一风险点是文档中建议使用 curl|bash 安装 bun，这是安装工具的标准方式（非恶意行为）。代码本身无恶意行为。

技能名称slide-editor

分析耗时34.1s

引擎pi

ClawHub Slide Editor v0.2.0 by dtacheng

📥 218 📦 1 ⭐ 1

ClawHub 判定可疑 dangerous_execllm_suspicious

✓

可以安装

可信任使用。建议：1) 使用官方包管理器安装 bun 而非 curl|bash；2) 代码本身无需修改。

安全发现 1 项

严重性	安全发现	位置
低危	文档中的 curl\|bash 安装建议文档欺骗 SKILL.md 建议用户使用 curl -fsSL https://bun.sh/install \| bash 安装 bun，这是安全反模式但属于安装官方工具的标准方式，非恶意行为。 `curl -fsSL https://bun.sh/install \| bash` → 建议改为使用官方包管理器（npm、brew 等）安装 bun，或在文档中明确警告用户验证脚本来源	`SKILL.md:23`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`READ+WRITE`	✓ 一致	inject.ts:56-61 读取并写入 HTML 文件
命令执行	`NONE`	`READ`	✓ 一致	inject.ts:149-164 仅用于打开浏览器，非任意命令执行
网络访问	`NONE`	`NONE`	—	代码无网络请求，仅 bun.sh/install 作为文档参考
浏览器	`NONE`	`WRITE`	✓ 一致	inject.ts:149-164 通过 open/xdg-open/start 打开浏览器用于预览

1 严重 2 项发现

💀

严重危险命令危险 Shell 命令

curl -fsSL https://bun.sh/install | bash

SKILL.md:23

🔗

中危外部 URL 外部 URL

https://bun.sh/install

SKILL.md:23

目录结构

27 文件 · 479.7 KB · 8614 行

HTML 5f · 4020L TypeScript 18f · 4003L Markdown 2f · 523L JSON 2f · 68L

├─ ▾ 📁 src

│ ├─ ▾ 📁 components

│ │ ├─ 📜 index.ts TypeScript 3L · 141 B

│ │ ├─ 📜 PropertiesPanel.ts TypeScript 312L · 12.2 KB

│ │ ├─ 📜 SlideNavigator.ts TypeScript 208L · 6.8 KB

│ │ └─ 📜 Toolbar.ts TypeScript 198L · 7.4 KB

│ ├─ ▾ 📁 core

│ │ ├─ 📜 DragManager.ts TypeScript 99L · 2.8 KB

│ │ ├─ 📜 HistoryManager.ts TypeScript 53L · 1.3 KB

│ │ ├─ 📜 index.ts TypeScript 5L · 243 B

│ │ ├─ 📜 ResizeManager.ts TypeScript 250L · 7.6 KB

│ │ ├─ 📜 SelectionManager.ts TypeScript 121L · 3.5 KB

│ │ └─ 📜 TextEditor.ts TypeScript 111L · 3.0 KB

│ ├─ ▾ 📁 i18n

│ │ └─ 📜 index.ts TypeScript 1L · 78 B

│ ├─ ▾ 📁 serialization

│ │ ├─ 📜 Exporter.ts TypeScript 579L · 18.0 KB

│ │ └─ 📜 index.ts TypeScript 1L · 53 B

│ ├─ 📜 i18n.ts TypeScript 133L · 4.1 KB

│ ├─ 📜 index.ts TypeScript 1162L · 36.1 KB

│ ├─ 📜 styles.ts TypeScript 451L · 9.2 KB

│ └─ 📜 types.ts TypeScript 123L · 2.8 KB

├─ ▾ 📁 test

│ ├─ 📄 clean-test.html HTML 819L · 70.7 KB

│ ├─ 📄 debug.html HTML 829L · 70.8 KB

│ ├─ 📄 presentation-clean.html HTML 774L · 65.0 KB

│ ├─ 📄 presentation-debug.html HTML 799L · 69.1 KB

│ └─ 📄 presentation.html HTML 799L · 69.0 KB

├─ 📜 inject.ts TypeScript 193L · 5.2 KB

├─ 📋 package.json JSON 50L · 1.3 KB

├─ 📝 README.md Markdown 186L · 4.8 KB

├─ 📝 SKILL.md Markdown 337L · 8.1 KB

└─ 📋 tsconfig.json JSON 18L · 444 B

依赖分析 4 项

包名	版本	来源	已知漏洞	备注
`esbuild`	`^0.20.0`	devDependency	否	版本锁定
`typescript`	`^5.4.0`	devDependency	否	版本锁定
`puppeteer`	`^24.39.1`	devDependency	否	版本锁定
`@types/node`	`^20.0.0`	devDependency	否	版本锁定

安全亮点

✓ 代码结构清晰，功能单一明确（HTML 编辑器注入）

✓ 无凭证收割、环境变量遍历或敏感路径访问

✓ 无外部网络通信代码

✓ 无混淆、编码或反分析技术

✓ 无持久化或后门机制

✓ 依赖声明完整（esbuild、typescript）

✓ inject.ts 的 execSync 仅用于打开浏览器，范围受限