Douyin Creator Marketplace (Xingtu) Security Report — Trusted | ClawSafe

5 /100

Douyin Creator Marketplace (Xingtu)

通过 JustOneAPI 分析抖音创作者市场数据，包含创作者资料、链接结构、可见性状态等 43 项操作

这是一个合法的抖音创作者市场数据分析 API 包装器，仅包含标准的 HTTP GET 请求，无任何恶意行为。

Skill NameDouyin Creator Marketplace (Xingtu)

Duration35.1s

Enginepi

✓

Safe to install

该技能可安全使用。无需额外限制或修改。

Findings 1 items

Severity	Finding	Location
Info	Token 通过命令行参数传递 Sensitive Access API token 通过 --token 参数传递，存储在 process.argv 中。虽然这是 CLI 工具的标准模式，但理论上可被其他进程查看。 `if (flag === '--token') { parsed.token = value; ... }` → 建议使用环境变量方式传递 token，遵循 SKILL.md 中的示例 'node ... --token "$JUST_ONE_API_TOKEN"' 时确保环境变量已正确设置	`bin/run.mjs:2507`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	bin/run.mjs:2563 使用 fetch() 向 justoneapi.com 发送 GET 请求
Filesystem	`NONE`	`NONE`	—	bin/run.mjs 无任何文件读写操作
Shell	`NONE`	`NONE`	—	bin/run.mjs 未使用 child_process 或 exec 系列函数
Environment	`READ`	`READ`	✓ Aligned	仅读取 JUST_ONE_API_TOKEN 作为参数传入
Clipboard	`NONE`	`NONE`	—	无剪贴板相关代码
Browser	`NONE`	`NONE`	—	无浏览器自动化代码
Database	`NONE`	`NONE`	—	无数据库访问代码

3 findings

🔗

Medium External URL 外部 URL

https://api.justoneapi.com

SKILL.md:5

🔗

Medium External URL 外部 URL

https://dashboard.justoneapi.com/

SKILL.md:51

🔗

Medium External URL 外部 URL

https://docs.justoneapi.com/en/usage

SKILL.md:52

4 files · 219.5 KB · 6665 lines

JavaScript 1f · 2721L JSON 1f · 2519L Markdown 2f · 1425L

├─ ▾ 📁 bin

│ └─ 📜 run.mjs JavaScript 2721L · 86.8 KB

├─ ▾ 📁 generated

│ ├─ 📋 operations.json JSON 2519L · 81.4 KB

│ └─ 📝 operations.md Markdown 1365L · 47.4 KB

└─ 📝 SKILL.md Markdown 60L · 3.9 KB

✓ 纯 API 包装器，无代码执行或文件系统操作

✓ 仅使用标准 fetch() 进行 HTTP 请求

✓ 参数验证完善，错误处理合理

✓ 无 Base64 解码、eval、动态代码执行等危险模式

✓ 无敏感路径访问（~/.ssh、~/.aws、.env）

✓ 文档声明与实际代码行为完全一致

✓ 无第三方依赖，仅使用 Node.js 原生模块

✓ 无供应链风险或恶意依赖