Scan Report
5 /100
excalidraw-diagram
Generate Excalidraw hand-drawn diagrams from natural language
excalidraw-diagram 是合法的 Excalidraw 图表生成技能,功能声明与实际实现一致,无恶意行为。
Safe to install
批准使用。PNG 导出会启动本地 HTTP 服务器(合法技术需求)和访问 CDN 加载 React/Excalidraw 库(声明于 Step 4.5),属于正常工具行为。
Findings 3 items
| Severity | Finding | Location |
|---|---|---|
| Info | 本地 HTTP 服务器用途合法 | scripts/export-png.py:95-102 |
| Info | 第三方依赖声明完整 | SKILL.md:62-63 |
| Info | PNG 导出需要联网 | scripts/export-png.py:17-19 |
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Filesystem | WRITE | WRITE | ✓ Aligned | SKILL.md:55-60 声明写入 .excalidraw 文件 |
| Network | READ | READ | ✓ Aligned | SKILL.md:61 声明需要联网加载 CDN 资源;export-png.py:17-19 从 unpkg.com 加载 React/Excalidraw |
| Shell | NONE | WRITE | ✓ Aligned | export-png.py:95-102 启动本地 HTTP 服务器,属于绕过 file:// CORS 限制的标准技术手段 |
2 findings
Medium External URL 外部 URL
https://excalidraw.com README.md:7 Medium External URL 外部 URL
http://127.0.0.1: scripts/export-png.py:131 File Tree
7 files · 37.6 KB · 1253 lines Markdown 6f · 1080L
Python 1f · 173L
├─
▾
references
│ ├─
diagram-templates.md
Markdown
│ ├─
element-spec.md
Markdown
│ ├─
examples.md
Markdown
│ └─
headless-export.md
Markdown
├─
▾
scripts
│ └─
export-png.py
Python
├─
README.md
Markdown
└─
SKILL.md
Markdown
Dependencies 1 items
| Package | Version | Source | Known Vulns | Notes |
|---|---|---|---|---|
playwright | * | pip | No | 无版本锁定,但需显式安装,行为可控 |
Security Positives
✓ 功能实现与声明完全一致,无阴影功能
✓ 无凭证收割、环境变量遍历或敏感路径访问
✓ 无远程代码执行、数据外传或反向 shell
✓ 依赖管理规范(Playwright 需显式安装)
✓ 代码结构清晰,仅使用标准库和合法第三方工具
✓ 本地 HTTP 服务器仅绑定 127.0.0.1,不存在外网暴露风险