中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Low Risk — Risk Score 20/100
Last scan:2 hr ago Rescan
20 /100
wechat-md-publisher
发布 Markdown 文章到微信公众号,支持草稿管理、多主题、智能图片处理、自动封面图
合法的微信公众号 Markdown 发布工具,通过 npx 动态执行外部 npm 包,存在供应链风险但已明确声明并提供源码审计指引
Skill Namewechat-md-publisher
Duration42.0s
Enginepi
ClawHub Wechat Md Publisher Skill v1.0.2 by sipingme
📥 591 📦 2
ClawHub Verdict Suspicious dangerous_execllm_suspiciousvt_suspicious
Safe to install
可使用。使用前建议审计 wechat-md-publisher 包的源码(特别是 account.ts 凭证处理部分),确认凭证加密实现符合预期

Findings 3 items

Severity Finding Location
Low
npx 动态拉取第三方 npm 包存在供应链风险 Supply Chain
SKILL.md 和 config.json 均声明使用 `npx --yes wechat-md-publisher@^1.0.2` 动态拉取执行。版本 ^1.0.2 允许次要版本自动更新,可能引入恶意代码。
npx --yes wechat-md-publisher@^1.0.2
→ 建议使用固定版本号(如 1.0.2)而非 ^1.0.2,并在使用前审计源码
 SKILL.md:54
Low
凭证加密处理依赖外部包 Credential Theft
SKILL.md 声明凭证(WECHAT_APP_SECRET)由 wechat-md-publisher npm 包使用 AES-256 加密存储到 ~/.config/,但未强制验证加密实现。
credentials.encryption: AES-256, handler: wechat-md-publisher npm 包
→ 建议用户在使用前审计 https://github.com/sipingme/wechat-md-publisher/blob/main/src/services/account.ts
 SKILL.md:78
Info
可选的远程主题端点可能外传数据 Supply Chain
remote-theme-api 功能在用户使用 `theme add-remote` 时访问第三方端点,可能发送文章内容。SKILL.md 已标注警告。
remote-theme-api: 仅当用户使用 theme add-remote 命令时才会访问
→ 仅使用可信任的主题源
 SKILL.md:72
ResourceDeclaredInferredStatusEvidence
Filesystem READ/WRITE READ/WRITE ✓ Aligned SKILL.md:filesystem 声明读取 *.md/*.jpg/*.png/*.gif,写入 ~/.config/wechat-md-publisher…
Network READ READ ✓ Aligned SKILL.md 声明访问 api.weixin.qq.com、mp.weixin.qq.com
Shell NONE WRITE ✗ Violation scripts/run.js:12 使用 spawnSync 执行 npx 命令,属于间接 shell 执行
15 findings
🔗
Medium External URL 外部 URL
https://mp.weixin.qq.com/
README.md:54
🔗
Medium External URL 外部 URL
https://www.toutiao.com/article/123
README.md:142
🔗
Medium External URL 外部 URL
https://api.md2wechat.cn
README.md:209
🔗
Medium External URL 外部 URL
https://mp.we...
SKILL.md:386
🔗
Medium External URL 外部 URL
https://developers.weixin.qq.com/doc/offiaccount/Getting_Started/Overview.html
SKILL.md:626
🔗
Medium External URL 外部 URL
https://mp.weixin.qq.com/s/abc
SKILL.md:716
🔗
Medium External URL 外部 URL
https://www.xiaohongshu.com/explore/xyz
SKILL.md:717
🔗
Medium External URL 外部 URL
https://www.toutiao.com/article/7000000000000000000/
SKILL.md:807
🔗
Medium External URL 外部 URL
https://www.toutiao.com/article/...
SKILL.md:813
🔗
Medium External URL 外部 URL
https://www.ip.cn/
references/ip-whitelist-guide.md:29
🔗
Medium External URL 外部 URL
https://ipinfo.io/
references/ip-whitelist-guide.md:30
🔗
Medium External URL 外部 URL
https://ifconfig.me/
references/ip-whitelist-guide.md:31
🔗
Medium External URL 外部 URL
https://developers.weixin.qq.com/doc/offiaccount/Getting_Started/Getting_Started_Guide.html
references/ip-whitelist-guide.md:285
🔗
Medium External URL 外部 URL
https://developers.weixin.qq.com/doc/offiaccount/Basic_Information/Get_access_token.html
references/ip-whitelist-guide.md:286
📧
Info Email 邮箱地址
[email protected]
README.md:305

File Tree

8 files · 52.2 KB · 2131 lines
Markdown 5f · 1848L JavaScript 2f · 177L JSON 1f · 106L
├─ 📁 references
│ ├─ 📝 ip-whitelist-guide.md Markdown 290L · 6.6 KB
│ ├─ 📝 quick-start.md Markdown 93L · 1.6 KB
│ └─ 📝 themes.md Markdown 284L · 4.7 KB
├─ 📁 scripts
│ ├─ 📜 postinstall.js JavaScript 75L · 2.5 KB
│ └─ 📜 run.js JavaScript 102L · 2.5 KB
├─ 🔑 config.json JSON 106L · 3.1 KB
├─ 📝 README.md Markdown 317L · 7.6 KB
└─ 📝 SKILL.md Markdown 864L · 23.6 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
wechat-md-publisher ^1.0.2 npm (npx) No 通过 npx 动态拉取,版本允许次要版本更新,存在供应链风险

Security Positives

✓ SKILL.md 文档完整,声明了供应链风险并提供源码审计链接
✓ 权限声明与实际功能匹配(除间接 shell 执行外)
✓ 明确标注凭证敏感性(WECHAT_APP_SECRET 为 sensitive:true)
✓ 提供多层次安全提示和使用指引
✓ 凭证存储使用 AES-256 加密(依赖上游实现)
✓ 脚本代码简洁,无复杂或可疑逻辑