中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:10 小时前 重新扫描
5 /100
chrome-use
通过 Chrome debugger API 和扩展控制本地 Chrome 浏览器,支持导航、点击、填表、截图等自动化操作
chrome-use 是一个合法的 Chrome 浏览器自动化工具,通过 Chrome 扩展和 debugger API 实现浏览器控制。代码结构清晰,功能与文档完全一致,无恶意行为或隐蔽操作。
技能名称chrome-use
分析耗时45.1s
引擎pi
可以安装
无风险,可安全使用。依赖 ws 库无版本锁定,建议添加 package-lock.json 以确保依赖稳定性。

安全发现 1 项

严重性 安全发现 位置
低危
依赖版本未锁定 供应链
package.json 中 ws 依赖版本为 ^8.16.0,允许自动升级到 8.x 最新版本,存在潜在供应链风险
"ws": "^8.16.0"
→ 建议使用精确版本 "ws": "8.16.0" 或添加 package-lock.json
 package.json:12
资源类型声明权限推断权限状态证据
浏览器 WRITE WRITE ✓ 一致 SKILL.md 完整声明了所有浏览器控制功能
命令执行 WRITE WRITE ✓ 一致 使用 spawn 启动 Chrome,SKILL.md 声明了 launchChrome()
文件系统 READ READ ✓ 一致 仅读取配置文件路径,无文件写入
网络访问 READ READ ✓ 一致 WebSocket 服务器仅监听 localhost:9224
1 项发现
🔗
中危 外部 URL 外部 URL
https://www.google.com
extension/README.md:53

目录结构

11 文件 · 50.3 KB · 2035 行
JavaScript 5f · 1426L Markdown 3f · 396L HTML 1f · 169L JSON 2f · 44L
├─ 📁 extension
│ ├─ 📜 background.js JavaScript 576L · 13.1 KB
│ ├─ 📋 manifest.json JSON 24L · 452 B
│ ├─ 📄 popup.html HTML 169L · 3.2 KB
│ ├─ 📜 popup.js JavaScript 66L · 1.8 KB
│ └─ 📝 README.md Markdown 103L · 3.2 KB
├─ 📁 references
│ └─ 📝 cdp-commands.md Markdown 105L · 3.2 KB
├─ 📁 src
│ ├─ 📜 chrome-bridge.js JavaScript 368L · 9.2 KB
│ └─ 📜 websocket-server.js JavaScript 258L · 5.7 KB
├─ 📜 index.js JavaScript 158L · 3.9 KB
├─ 📋 package.json JSON 20L · 390 B
└─ 📝 SKILL.md Markdown 188L · 6.2 KB

依赖分析 1 项

包名版本来源已知漏洞备注
ws ^8.16.0 npm 建议锁定精确版本

安全亮点

✓ 代码结构清晰,模块化设计良好
✓ 功能与文档完全一致,无阴影功能
✓ 仅使用 chrome.debugger API,无越权操作
✓ WebSocket 仅本地通信,无外部网络请求
✓ 无敏感文件访问或凭证收割行为
✓ 使用 Chrome 扩展的 debugger API,模拟真实 DevTools 行为
✓ MIT 许可证,开源透明