中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:10 小时前 重新扫描
5 /100
ppt-compressor
压缩PowerPoint文件中嵌入的视频和大图片
PPT压缩工具,代码完全符合文档描述,仅涉及文件解压缩、ffmpeg视频转码和Pillow图片压缩,无恶意行为
技能名称ppt-compressor
分析耗时32.7s
引擎pi
可以安装
可安全使用,pillow依赖建议锁定版本

安全发现 1 项

严重性 安全发现 位置
低危
Pillow依赖无版本锁定 供应链
ensure_pillow()函数使用pip install Pillow未指定版本范围,可能安装到含有漏洞的版本
[sys.executable, '-m', 'pip', 'install', 'Pillow', '-q']
→ 建议改为 pip install Pillow>=9.0.0 锁定最低版本
 scripts/compress_ppt_videos.py:108
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 extract_pptx/repackage_pptx:scripts/compress_ppt_videos.py
命令执行 WRITE WRITE ✓ 一致 subprocess.run(ffmpeg/ffprobe):scripts/compress_ppt_videos.py:134
网络访问 READ READ ✓ 一致 urllib.request下载ffmpeg:scripts/download_ffmpeg.py:44
环境变量 NONE NONE 无敏感环境变量访问
1 严重 6 项发现
💀
严重 危险命令 危险 Shell 命令
python -c "import os
SKILL.md:133
🔗
中危 外部 URL 外部 URL
https://www.gyan.dev/ffmpeg/builds/ffmpeg-release-essentials.zip
scripts/download_ffmpeg.py:26
🔗
中危 外部 URL 外部 URL
https://evermeet.cx/ffmpeg/getrelease/ffmpeg/zip
scripts/download_ffmpeg.py:32
🔗
中危 外部 URL 外部 URL
https://evermeet.cx/ffmpeg/getrelease/ffprobe/zip
scripts/download_ffmpeg.py:33
🔗
中危 外部 URL 外部 URL
https://johnvansickle.com/ffmpeg/releases/ffmpeg-release-amd64-static.tar.xz
scripts/download_ffmpeg.py:38
🔗
中危 外部 URL 外部 URL
https://www.gyan.dev/ffmpeg/builds/
scripts/download_ffmpeg.py:241

目录结构

5 文件 · 65.6 KB · 1756 行
Python 4f · 1300L Markdown 1f · 456L
├─ 📁 scripts
│ ├─ 🐍 compress_ppt_videos.py Python 733L · 29.2 KB
│ ├─ 🐍 compress.py Python 27L · 703 B
│ ├─ 🐍 download_ffmpeg.py Python 253L · 7.9 KB
│ └─ 🐍 path_helper.py Python 287L · 9.6 KB
└─ 📝 SKILL.md Markdown 456L · 18.1 KB

依赖分析 2 项

包名版本来源已知漏洞备注
Pillow * pip 无版本锁定
ffmpeg bundled bin/ 通过download_ffmpeg.py从已知源下载

安全亮点

✓ 文档描述完整准确,所有能力均已声明,无阴影功能
✓ 无凭证收割、API密钥扫描或敏感路径访问
✓ 无base64/eval等混淆手段
✓ 外部URL均为已知可靠的ffmpeg官方分发源(gyan.dev、evermeet.cx、johnvansickle.com)
✓ 文件操作严格限定在用户提供的.pptx文件范围内
✓ ffmpeg命令使用列表形式构建,无命令注入风险
✓ SKILL.md中的shell命令仅为文件存在性检查(python -c os.path.exists),用途合法