fcpx-assistant 安全扫描报告 — 可信 | ClawSafe

5 /100

fcpx-assistant

Final Cut Pro X assistant - auto video production, TTS voiceover, media management, batch export

Legitimate video production assistant with expected shell execution and API calls for video generation features. No malicious patterns detected.

技能名称fcpx-assistant

分析耗时40.9s

引擎pi

✓

可以安装

This skill is safe to use. Monitor API key usage and ensure proper environment variable configuration.

安全发现 2 项

严重性	安全发现	位置
低危	Documentation contains placeholder API keys MATERIAL_SOURCE_GUIDE.md lines 63, 66 and QUICKSTART.md line 176 show API_KEY='your_pexels_key_here' style placeholders in example code blocks `API_KEY="your_pexels_key_here"` → These are documented examples showing expected format. Not actual credentials. Consider adding comments clarifying they are placeholders.	`MATERIAL_SOURCE_GUIDE.md:63`
低危	Unpinned Python dependencies webui/requirements.txt uses >= for version constraints without upper bounds `gradio>=4.0.0` → Add upper bounds or specific versions for reproducible builds	`webui/requirements.txt:1`

资源类型	声明权限	推断权限	状态	证据
命令执行	`WRITE`	`WRITE`	✓ 一致	All scripts use bash for ffmpeg, curl, jq operations
文件系统	`WRITE`	`WRITE`	✓ 一致	Creates project directories, writes output videos/scripts
网络访问	`READ`	`READ`	✓ 一致	API calls to Pexels, Pixabay, DashScope documented in SKILL.md
环境变量	`READ`	`READ`	✓ 一致	Reads PEXELS_API_KEY, PIXABAY_API_KEY, DASHSCOPE_API_KEY from env

3 高危 36 项发现

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your_pexels_key_here"

MATERIAL_SOURCE_GUIDE.md:63

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your_pixabay_key_here"

MATERIAL_SOURCE_GUIDE.md:66

🔑

高危 API 密钥疑似硬编码凭证

API_KEY="your-api-key-here"

QUICKSTART.md:176

🔗

中危外部 URL 外部 URL

https://www.bilibili.com

AUTO_PUBLISH_README.md:50

🔗

中危外部 URL 外部 URL

https://console.cloud.google.com

AUTO_PUBLISH_README.md:72

🔗

中危外部 URL 外部 URL

https://creator.douyin.com

AUTO_PUBLISH_README.md:88

🔗

中危外部 URL 外部 URL

http://127.0.0.1:7860/gradio_api/info

GUIDE.md:200

🔗

中危外部 URL 外部 URL

https://www.pexels.com/api/

MATERIAL_SOURCE_GUIDE.md:20

🔗

中危外部 URL 外部 URL

https://pixabay.com/api/docs/

MATERIAL_SOURCE_GUIDE.md:38

🔗

中危外部 URL 外部 URL

https://pixabay.com/api/docs/#api_search_videos

MATERIAL_SOURCE_GUIDE.md:42

🔗

中危外部 URL 外部 URL

https://ffmpeg.org/documentation.html

MATERIAL_SOURCE_GUIDE.md:226

🔗

中危外部 URL 外部 URL

http://127.0.0.1:7860

QUICKSTART.md:166

🔗

中危外部 URL 外部 URL

https://dashscope.aliyuncs.com/compatible-mode/v1

scripts/ai-script-generator.sh:15

🔗

中危外部 URL 外部 URL

http://127.0.0.1:8000/gradio_api/call/run

scripts/auto-chapter-marker.sh:36

🔗

中危外部 URL 外部 URL

https://member.bilibili.com/platform/upload/video

scripts/auto-publish.sh:258

🔗

中危外部 URL 外部 URL

https://studio.youtube.com/

scripts/auto-publish.sh:297

🔗

中危外部 URL 外部 URL

https://creator.douyin.com/

scripts/auto-publish.sh:327

🔗

中危外部 URL 外部 URL

https://creator.xiaohongshu.com/

scripts/auto-publish.sh:357

🔗

中危外部 URL 外部 URL

http://127.0.0.1:7860/gradio_api/call/generate_voice_fn

scripts/auto-voiceover.sh:40

🔗

中危外部 URL 外部 URL

https://www.pexels.com/api/）

scripts/media-collector.sh:14

🔗

中危外部 URL 外部 URL

https://pixabay.com/api/docs/）

scripts/media-collector.sh:15

🔗

中危外部 URL 外部 URL

https://api.pexels.com/videos/search?query=$

scripts/media-collector.sh:150

🔗

中危外部 URL 外部 URL

https://pixabay.com/api/videos/?key=$

scripts/media-collector.sh:255

🔗

中危外部 URL 外部 URL

https://pixabay.com/music/search/$

scripts/media-collector.sh:339

🔗

中危外部 URL 外部 URL

https://pixabay.com/api/music/?key=$

scripts/media-collector.sh:342

🔗

中危外部 URL 外部 URL

https://freemusicarchive.org/search?quicksearch=$

scripts/media-collector.sh:389

🔗

中危外部 URL 外部 URL

https://incompetech.com/music/royalty-free/music.html$

scripts/media-collector.sh:390

🔗

中危外部 URL 外部 URL

https://mixkit.co/free-stock-music/

scripts/music-collector.sh:9

🔗

中危外部 URL 外部 URL

https://freemusicarchive.org/

scripts/music-collector.sh:10

🔗

中危外部 URL 外部 URL

https://www.bensound.com/

scripts/music-collector.sh:11

🔗

中危外部 URL 外部 URL

https://mixkit.co/free-stock-music/$

scripts/music-collector.sh:91

🔗

中危外部 URL 外部 URL

https://freemusicarchive.org/search/rss?quicksearch=$

scripts/music-collector.sh:137

🔗

中危外部 URL 外部 URL

https://www.bensound.com/search?q=$

scripts/music-collector.sh:172

🔗

中危外部 URL 外部 URL

https://studio.youtube.com/channel/UC/audio_library$

scripts/music-collector.sh:189

🔗

中危外部 URL 外部 URL

https://studio.youtube.com/channel/UC/audio_library

scripts/music-collector.sh:274

🔗

中危外部 URL 外部 URL

http://$(hostname

start-webui.sh:105

目录结构

29 文件 · 218.7 KB · 7293 行

Shell 18f · 3862L Markdown 8f · 2696L Python 1f · 725L JSON 1f · 7L Text 1f · 3L

├─ ▾ 📁 scripts

│ ├─ 🔧 ai-script-generator.sh Shell 214L · 6.6 KB

│ ├─ 🔧 audio-normalizer.sh Shell 68L · 1.8 KB

│ ├─ 🔧 auto-broll-insert.sh Shell 373L · 10.9 KB

│ ├─ 🔧 auto-chapter-marker.sh Shell 104L · 2.8 KB

│ ├─ 🔧 auto-color-grade.sh Shell 227L · 6.5 KB

│ ├─ 🔧 auto-publish.sh Shell 385L · 9.3 KB

│ ├─ 🔧 auto-rough-cut.sh Shell 92L · 2.6 KB

│ ├─ 🔧 auto-thumbnail.sh Shell 71L · 2.1 KB

│ ├─ 🔧 auto-video-from-topic.sh Shell 267L · 6.7 KB

│ ├─ 🔧 auto-video-maker.sh Shell 528L · 19.3 KB

│ ├─ 🔧 auto-voiceover.sh Shell 87L · 2.4 KB

│ ├─ 🔧 media-collector.sh Shell 458L · 17.3 KB

│ ├─ 🔧 multi-lang-subtitles.sh Shell 135L · 3.1 KB

│ ├─ 🔧 music-collector.sh Shell 279L · 9.1 KB

│ ├─ 🔧 scene-detect.sh Shell 45L · 1.4 KB

│ ├─ 🔧 smart-tagger.sh Shell 82L · 2.4 KB

│ └─ 🔧 tts-voiceover.sh Shell 330L · 11.1 KB

├─ ▾ 📁 webui

│ ├─ 🐍 app.py Python 725L · 38.4 KB

│ └─ 📄 requirements.txt Text 3L · 42 B

├─ 📝 AUTO_PUBLISH_README.md Markdown 211L · 3.8 KB

├─ 📝 AUTO_VIDEO_FEATURES.md Markdown 262L · 5.8 KB

├─ 📝 GUIDE.md Markdown 440L · 11.2 KB

├─ 📝 MATERIAL_SOURCE_GUIDE.md Markdown 230L · 4.5 KB

├─ 📋 package.json JSON 7L · 218 B

├─ 📝 QUICKSTART.md Markdown 244L · 4.8 KB

├─ 📝 README.md Markdown 319L · 6.2 KB

├─ 📝 SKILL.md Markdown 672L · 17.6 KB

├─ 🔧 start-webui.sh Shell 117L · 3.2 KB

└─ 📝 WHATSNEW.md Markdown 318L · 7.5 KB

依赖分析 3 项

包名	版本	来源	已知漏洞	备注
`gradio`	`>=4.0.0`	pip	否	Version not pinned
`numpy`	`>=1.20.0`	pip	否	Version not pinned
`pillow`	`>=9.0.0`	pip	否	Version not pinned

安全亮点

✓ All shell commands are documented and aligned with video production features

✓ No base64-encoded payloads or obfuscated code detected

✓ No credential harvesting beyond API keys needed for services

✓ No data exfiltration or suspicious network patterns

✓ External API calls are to documented services (Pexels, Pixabay, DashScope)

✓ WebUI serves locally by default with no remote access requirements

✓ No access to sensitive paths like ~/.ssh, ~/.aws, or .env files

✓ subprocess usage is necessary and expected for video editing tools