stremio-cli Security Report — Suspicious | ClawSafe

35 /100

stremio-cli

Stremio automation via browser + Torrentio on Mac Mini

stremio_cast.py 脚本与文档描述不一致，声称'不使用'但实际是唯一脚本；存在未声明的 subprocess 执行和硬编码第三方服务器地址。

Skill Namestremio-cli

Duration29.2s

Enginepi

⚠

Use with caution

更新文档以反映实际使用的脚本和权限，移除硬编码的第三方服务器地址或明确声明其必要性。

Findings 3 items

Severity	Finding	Location
Medium	文档与代码不一致 Doc Mismatch SKILL.md声称'scripts/stremio_cast.py是葡萄牙语遗留代码，不使用'，但该文件是唯一存在的脚本且被设计为实际执行入口。 The script in `scripts/stremio_cast.py` is Portuguese/legacy and not used — we rely on the built-in browser tool instead. → 修正文档，明确说明实际使用的脚本和方式	`SKILL.md:28`
Low	未声明的shell执行 Priv Escalation 代码使用subprocess.Popen执行catt命令进行设备投屏，但文档仅声明使用browser tool，未提及shell执行权限。 `subprocess.Popen(['catt', '-d', device, 'cast', stream_url])` → 在SKILL.md中声明需要执行外部命令的权限	`scripts/stremio_cast.py:62`
Low	依赖未版本锁定 Supply Chain requirements.txt未指定playwright版本，可能引入不一致行为或恶意修改。 `playwright` → 锁定版本如 playwright==1.40.0	`requirements.txt:1`

Resource	Declared	Inferred	Status	Evidence
Browser	`WRITE`	`WRITE`	✓ Aligned	scripts/stremio_cast.py:24
Shell	`NONE`	`WRITE`	✗ Violation	scripts/stremio_cast.py:62 subprocess.Popen调用
Network	`READ`	`READ`	✓ Aligned	访问stremio服务器

2 findings

🔗

Medium External URL 外部 URL

https://app.strem.io/shell-v4.4/?streamingServer=https%3A%2F%2F192-168-15-162.519b6502d940.stremio.rocks%3A12470#/

scripts/stremio_cast.py:10

📧

Info Email 邮箱地址

[email protected]

SKILL.md:12

3 files · 5.3 KB · 135 lines

Python 1f · 88L Markdown 1f · 42L JSON 1f · 5L

├─ ▾ 📁 scripts

│ └─ 🐍 stremio_cast.py Python 88L · 3.6 KB

├─ 📋 _meta.json JSON 5L · 130 B

└─ 📝 SKILL.md Markdown 42L · 1.5 KB

Package	Version	Source	Known Vulns	Notes
`playwright`	`*`	pip	No	无版本锁定

✓ 代码结构清晰，错误处理完善

✓ 无凭证外泄行为

✓ 无持久化机制

✓ 无混淆或隐藏代码