中文 EN

扫描报告

扫描新文件

可信 — 风险评分 0/100
上次扫描:11 小时前 重新扫描
0 /100
career-news
Daily profession-targeted news from X (Twitter), Google News, Grok, and global media. Supports bilingual (zh/en), multi-profession subscriptions, and scheduled morning push.
Career News 是一个合法的职业新闻订阅工具,仅操作本地用户数据文件(data/users/),无外部网络请求、无 shell 执行、无凭证访问,行为与文档声明完全一致。
技能名称career-news
分析耗时32.5s
引擎pi
可以安装
此技能可安全使用,无需限制。
资源类型声明权限推断权限状态证据
文件系统 NONE READ|WRITE ✓ 一致 SKILL.md 声明本地用户数据存储于 data/users/,脚本按需读写该目录
网络访问 NONE NONE 所有脚本无 HTTP/DNS/远程连接
命令执行 NONE NONE 无 subprocess/exec/spawn 调用
环境变量 NONE NONE 无 os.environ 访问
凭证 NONE NONE 无 SSH/AWS/.env 访问
技能调用 NONE NONE 无内部技能调用

目录结构

8 文件 · 50.2 KB · 1101 行
JavaScript 5f · 931L Markdown 1f · 148L JSON 2f · 22L
├─ 📁 scripts
│ ├─ 📜 manage-professions.js JavaScript 262L · 10.5 KB
│ ├─ 📜 morning-push.js JavaScript 246L · 13.5 KB
│ ├─ 📜 news-query.js JavaScript 226L · 12.0 KB
│ ├─ 📜 push-toggle.js JavaScript 50L · 1.6 KB
│ └─ 📜 register.js JavaScript 147L · 6.5 KB
├─ 📋 _meta.json JSON 6L · 122 B
├─ 📋 package.json JSON 16L · 505 B
└─ 📝 SKILL.md Markdown 148L · 5.3 KB

安全亮点

✓ 代码结构清晰,无混淆、无 base64、无动态 eval
✓ 用户输入经过严格的正则过滤(userId 限制为 [a-zA-Z0-9_-]),有效防止路径遍历
✓ 职业白名单机制(14 种职业 slug),防止注入
✓ 所有操作仅限于 data/users/ 目录下的 JSON 文件
✓ 无第三方依赖(package.json 仅列出 npm scripts),无供应链风险
✓ 文档与实现行为完全对应,无阴影功能
✓ --dry-run 模式提供安全的测试路径