中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:8 hr ago Rescan
5 /100
ppt-compressor
压缩PowerPoint文件中嵌入的视频和大图片
PPT压缩工具,代码完全符合文档描述,仅涉及文件解压缩、ffmpeg视频转码和Pillow图片压缩,无恶意行为
Skill Nameppt-compressor
Duration32.7s
Enginepi
Safe to install
可安全使用,pillow依赖建议锁定版本

Findings 1 items

Severity Finding Location
Low
Pillow依赖无版本锁定 Supply Chain
ensure_pillow()函数使用pip install Pillow未指定版本范围,可能安装到含有漏洞的版本
[sys.executable, '-m', 'pip', 'install', 'Pillow', '-q']
→ 建议改为 pip install Pillow>=9.0.0 锁定最低版本
 scripts/compress_ppt_videos.py:108
ResourceDeclaredInferredStatusEvidence
Filesystem WRITE WRITE ✓ Aligned extract_pptx/repackage_pptx:scripts/compress_ppt_videos.py
Shell WRITE WRITE ✓ Aligned subprocess.run(ffmpeg/ffprobe):scripts/compress_ppt_videos.py:134
Network READ READ ✓ Aligned urllib.request下载ffmpeg:scripts/download_ffmpeg.py:44
Environment NONE NONE 无敏感环境变量访问
1 Critical 6 findings
💀
Critical Dangerous Command 危险 Shell 命令
python -c "import os
SKILL.md:133
🔗
Medium External URL 外部 URL
https://www.gyan.dev/ffmpeg/builds/ffmpeg-release-essentials.zip
scripts/download_ffmpeg.py:26
🔗
Medium External URL 外部 URL
https://evermeet.cx/ffmpeg/getrelease/ffmpeg/zip
scripts/download_ffmpeg.py:32
🔗
Medium External URL 外部 URL
https://evermeet.cx/ffmpeg/getrelease/ffprobe/zip
scripts/download_ffmpeg.py:33
🔗
Medium External URL 外部 URL
https://johnvansickle.com/ffmpeg/releases/ffmpeg-release-amd64-static.tar.xz
scripts/download_ffmpeg.py:38
🔗
Medium External URL 外部 URL
https://www.gyan.dev/ffmpeg/builds/
scripts/download_ffmpeg.py:241

File Tree

5 files · 65.6 KB · 1756 lines
Python 4f · 1300L Markdown 1f · 456L
├─ 📁 scripts
│ ├─ 🐍 compress_ppt_videos.py Python 733L · 29.2 KB
│ ├─ 🐍 compress.py Python 27L · 703 B
│ ├─ 🐍 download_ffmpeg.py Python 253L · 7.9 KB
│ └─ 🐍 path_helper.py Python 287L · 9.6 KB
└─ 📝 SKILL.md Markdown 456L · 18.1 KB

Dependencies 2 items

PackageVersionSourceKnown VulnsNotes
Pillow * pip No 无版本锁定
ffmpeg bundled bin/ No 通过download_ffmpeg.py从已知源下载

Security Positives

✓ 文档描述完整准确,所有能力均已声明,无阴影功能
✓ 无凭证收割、API密钥扫描或敏感路径访问
✓ 无base64/eval等混淆手段
✓ 外部URL均为已知可靠的ffmpeg官方分发源(gyan.dev、evermeet.cx、johnvansickle.com)
✓ 文件操作严格限定在用户提供的.pptx文件范围内
✓ ffmpeg命令使用列表形式构建,无命令注入风险
✓ SKILL.md中的shell命令仅为文件存在性检查(python -c os.path.exists),用途合法