Name: html-markdown-converter 安全扫描报告 — 可信 | ClawSafe
Item: html-markdown-converter
Rating: 90
Author: ClawSafe

10 /100

html-markdown-converter

HTML ↔ Markdown 双向转换工具，支持文件/URL/批量处理

HTML/Markdown双向转换工具，代码透明、功能单一，无恶意行为发现，供应链管理存在轻微宽松但不影响安全性。

技能名称html-markdown-converter

分析耗时40.2s

引擎pi

ClawHub Html Markdown Converter v1.1.4 by wangziiiiii

📥 255 📦 1 ⭐ 1

ClawHub 判定可疑 dangerous_execllm_suspiciouspotential_exfiltration

✓

可以安装

可安全使用。建议将依赖版本锁定以减少供应链风险。

安全发现 2 项

严重性	安全发现	位置
低危	依赖版本未锁定供应链 package.json 所有依赖使用 ^x.x.x 语义化版本范围，存在潜在供应链风险（恶意版本注入） `"@mozilla/readability": "^0.5.0"` → 建议固定版本号（如 0.5.0 而非 ^0.5.0）或使用 lock 文件确保依赖一致性	`package.json:12`
提示	外部参考链接文档欺骗 SKILL.md 末尾引用了 jisuapi.com 和 jisuepc.com 作为汽车数据相关场景的参考站点 `https://jisuapi.com` → 确认为正常业务参考链接，非恶意行为	`SKILL.md:129`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	SKILL.md:24-27 声明文件读写，scripts/html_to_markdown.mjs:163-167 实现
网络访问	`READ`	`READ`	✓ 一致	SKILL.md:18 声明支持 URL 输入，scripts/html_to_markdown.mjs:193-199 fetch 实现
命令执行	`NONE`	`WRITE`	✓ 一致	scripts/html_to_markdown.mjs:306 仅在 --engine pandoc 时调用 spawn
环境变量	`NONE`	`NONE`	—	无环境变量访问代码
剪贴板	`NONE`	`NONE`	—	无剪贴板访问
浏览器	`NONE`	`NONE`	—	无浏览器自动化
数据库	`NONE`	`NONE`	—	无数据库访问

2 项发现

🔗

中危外部 URL 外部 URL

https://jisuapi.com

SKILL.md:129

🔗

中危外部 URL 外部 URL

https://jisuepc.com

SKILL.md:130

目录结构

5 文件 · 31.6 KB · 973 行

JavaScript 2f · 786L Markdown 2f · 166L JSON 1f · 21L

├─ ▾ 📁 references

│ └─ 📝 profiles.md Markdown 32L · 1.0 KB

├─ ▾ 📁 scripts

│ ├─ 📜 html_to_markdown.mjs JavaScript 620L · 20.5 KB

│ └─ 📜 markdown_to_html.mjs JavaScript 166L · 6.0 KB

├─ 📋 package.json JSON 21L · 687 B

└─ 📝 SKILL.md Markdown 134L · 3.5 KB

✓ 代码结构清晰，两个脚本行数虽多但逻辑简单可审计

✓ 无环境变量遍历、无敏感路径访问、无凭证收割

✓ 无 Base64/eval/动态代码执行

✓ 无未声明的网络外传行为

✓ 使用成熟开源库（Turndown、Readability、markdown-it）

✓ 文档与实现功能高度一致