chrome-use Security Report — Trusted | ClawSafe

5 /100

chrome-use

通过 Chrome debugger API 和扩展控制本地 Chrome 浏览器，支持导航、点击、填表、截图等自动化操作

chrome-use 是一个合法的 Chrome 浏览器自动化工具，通过 Chrome 扩展和 debugger API 实现浏览器控制。代码结构清晰，功能与文档完全一致，无恶意行为或隐蔽操作。

Skill Namechrome-use

Duration45.1s

Enginepi

✓

Safe to install

无风险，可安全使用。依赖 ws 库无版本锁定，建议添加 package-lock.json 以确保依赖稳定性。

Findings 1 items

Severity	Finding	Location
Low	依赖版本未锁定 Supply Chain package.json 中 ws 依赖版本为 ^8.16.0，允许自动升级到 8.x 最新版本，存在潜在供应链风险 `"ws": "^8.16.0"` → 建议使用精确版本 "ws": "8.16.0" 或添加 package-lock.json	`package.json:12`

Resource	Declared	Inferred	Status	Evidence
Browser	`WRITE`	`WRITE`	✓ Aligned	SKILL.md 完整声明了所有浏览器控制功能
Shell	`WRITE`	`WRITE`	✓ Aligned	使用 spawn 启动 Chrome，SKILL.md 声明了 launchChrome()
Filesystem	`READ`	`READ`	✓ Aligned	仅读取配置文件路径，无文件写入
Network	`READ`	`READ`	✓ Aligned	WebSocket 服务器仅监听 localhost:9224

1 findings

🔗

Medium External URL 外部 URL

https://www.google.com

extension/README.md:53

File Tree

11 files · 50.3 KB · 2035 lines

JavaScript 5f · 1426L Markdown 3f · 396L HTML 1f · 169L JSON 2f · 44L

├─ ▾ 📁 extension

│ ├─ 📜 background.js JavaScript 576L · 13.1 KB

│ ├─ 📋 manifest.json JSON 24L · 452 B

│ ├─ 📄 popup.html HTML 169L · 3.2 KB

│ ├─ 📜 popup.js JavaScript 66L · 1.8 KB

│ └─ 📝 README.md Markdown 103L · 3.2 KB

├─ ▾ 📁 references

│ └─ 📝 cdp-commands.md Markdown 105L · 3.2 KB

├─ ▾ 📁 src

│ ├─ 📜 chrome-bridge.js JavaScript 368L · 9.2 KB

│ └─ 📜 websocket-server.js JavaScript 258L · 5.7 KB

├─ 📜 index.js JavaScript 158L · 3.9 KB

├─ 📋 package.json JSON 20L · 390 B

└─ 📝 SKILL.md Markdown 188L · 6.2 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`ws`	`^8.16.0`	npm	No	建议锁定精确版本

Security Positives

✓ 代码结构清晰，模块化设计良好

✓ 功能与文档完全一致，无阴影功能

✓ 仅使用 chrome.debugger API，无越权操作

✓ WebSocket 仅本地通信，无外部网络请求

✓ 无敏感文件访问或凭证收割行为

✓ 使用 Chrome 扩展的 debugger API，模拟真实 DevTools 行为

✓ MIT 许可证，开源透明

Scan Report

Findings 1 items

File Tree

Dependencies 1 items

Security Positives