Douyin Creator Marketplace (Xingtu) 安全扫描报告 — 可信 | ClawSafe

5 /100

Douyin Creator Marketplace (Xingtu)

通过 JustOneAPI 分析抖音创作者市场数据，包含创作者资料、链接结构、可见性状态等 43 项操作

这是一个合法的抖音创作者市场数据分析 API 包装器，仅包含标准的 HTTP GET 请求，无任何恶意行为。

技能名称Douyin Creator Marketplace (Xingtu)

分析耗时35.1s

引擎pi

✓

可以安装

该技能可安全使用。无需额外限制或修改。

安全发现 1 项

严重性	安全发现	位置
提示	Token 通过命令行参数传递敏感访问 API token 通过 --token 参数传递，存储在 process.argv 中。虽然这是 CLI 工具的标准模式，但理论上可被其他进程查看。 `if (flag === '--token') { parsed.token = value; ... }` → 建议使用环境变量方式传递 token，遵循 SKILL.md 中的示例 'node ... --token "$JUST_ONE_API_TOKEN"' 时确保环境变量已正确设置	`bin/run.mjs:2507`

资源类型	声明权限	推断权限	状态	证据
网络访问	`READ`	`READ`	✓ 一致	bin/run.mjs:2563 使用 fetch() 向 justoneapi.com 发送 GET 请求
文件系统	`NONE`	`NONE`	—	bin/run.mjs 无任何文件读写操作
命令执行	`NONE`	`NONE`	—	bin/run.mjs 未使用 child_process 或 exec 系列函数
环境变量	`READ`	`READ`	✓ 一致	仅读取 JUST_ONE_API_TOKEN 作为参数传入
剪贴板	`NONE`	`NONE`	—	无剪贴板相关代码
浏览器	`NONE`	`NONE`	—	无浏览器自动化代码
数据库	`NONE`	`NONE`	—	无数据库访问代码

3 项发现

🔗

中危外部 URL 外部 URL

https://api.justoneapi.com

SKILL.md:5

🔗

中危外部 URL 外部 URL

https://dashboard.justoneapi.com/

SKILL.md:51

🔗

中危外部 URL 外部 URL

https://docs.justoneapi.com/en/usage

SKILL.md:52

4 文件 · 219.5 KB · 6665 行

JavaScript 1f · 2721L JSON 1f · 2519L Markdown 2f · 1425L

├─ ▾ 📁 bin

│ └─ 📜 run.mjs JavaScript 2721L · 86.8 KB

├─ ▾ 📁 generated

│ ├─ 📋 operations.json JSON 2519L · 81.4 KB

│ └─ 📝 operations.md Markdown 1365L · 47.4 KB

└─ 📝 SKILL.md Markdown 60L · 3.9 KB

✓ 纯 API 包装器，无代码执行或文件系统操作

✓ 仅使用标准 fetch() 进行 HTTP 请求

✓ 参数验证完善，错误处理合理

✓ 无 Base64 解码、eval、动态代码执行等危险模式

✓ 无敏感路径访问（~/.ssh、~/.aws、.env）

✓ 文档声明与实际代码行为完全一致

✓ 无第三方依赖，仅使用 Node.js 原生模块

✓ 无供应链风险或恶意依赖