stremio-cli 安全扫描报告 — 可疑 | ClawSafe

35 /100

stremio-cli

Stremio automation via browser + Torrentio on Mac Mini

stremio_cast.py 脚本与文档描述不一致，声称'不使用'但实际是唯一脚本；存在未声明的 subprocess 执行和硬编码第三方服务器地址。

技能名称stremio-cli

分析耗时29.2s

引擎pi

⚠

谨慎使用

更新文档以反映实际使用的脚本和权限，移除硬编码的第三方服务器地址或明确声明其必要性。

安全发现 3 项

严重性	安全发现	位置
中危	文档与代码不一致文档欺骗 SKILL.md声称'scripts/stremio_cast.py是葡萄牙语遗留代码，不使用'，但该文件是唯一存在的脚本且被设计为实际执行入口。 The script in `scripts/stremio_cast.py` is Portuguese/legacy and not used — we rely on the built-in browser tool instead. → 修正文档，明确说明实际使用的脚本和方式	`SKILL.md:28`
低危	未声明的shell执行权限提升代码使用subprocess.Popen执行catt命令进行设备投屏，但文档仅声明使用browser tool，未提及shell执行权限。 `subprocess.Popen(['catt', '-d', device, 'cast', stream_url])` → 在SKILL.md中声明需要执行外部命令的权限	`scripts/stremio_cast.py:62`
低危	依赖未版本锁定供应链 requirements.txt未指定playwright版本，可能引入不一致行为或恶意修改。 `playwright` → 锁定版本如 playwright==1.40.0	`requirements.txt:1`

资源类型	声明权限	推断权限	状态	证据
浏览器	`WRITE`	`WRITE`	✓ 一致	scripts/stremio_cast.py:24
命令执行	`NONE`	`WRITE`	✗ 越权	scripts/stremio_cast.py:62 subprocess.Popen调用
网络访问	`READ`	`READ`	✓ 一致	访问stremio服务器

2 项发现

🔗

中危外部 URL 外部 URL

https://app.strem.io/shell-v4.4/?streamingServer=https%3A%2F%2F192-168-15-162.519b6502d940.stremio.rocks%3A12470#/

scripts/stremio_cast.py:10

📧

提示邮箱邮箱地址

[email protected]

SKILL.md:12

3 文件 · 5.3 KB · 135 行

Python 1f · 88L Markdown 1f · 42L JSON 1f · 5L

├─ ▾ 📁 scripts

│ └─ 🐍 stremio_cast.py Python 88L · 3.6 KB

├─ 📋 _meta.json JSON 5L · 130 B

└─ 📝 SKILL.md Markdown 42L · 1.5 KB

包名	版本	来源	已知漏洞	备注
`playwright`	`*`	pip	否	无版本锁定

✓ 代码结构清晰，错误处理完善

✓ 无凭证外泄行为

✓ 无持久化机制

✓ 无混淆或隐藏代码