TikTok Shop Security Report — Trusted | ClawSafe

5 /100

TikTok Shop

Analyze TikTok Shop workflows with JustOneAPI, including product Search and product Details.

TikTok Shop API 包装工具，代码结构清晰，仅包含声明的标准 API 调用功能，无任何恶意行为。

Skill NameTikTok Shop

Duration26.1s

Enginepi

✓

Safe to install

此技能可直接使用，无需额外安全干预。

Findings 1 items

Severity	Finding	Location
Low	Shell 权限声明超出实际需要 Priv Escalation SKILL.md 声明使用 Bash 执行 node 脚本，但实际代码仅使用 node 运行时调用 fetch，无 shell 执行 `node {baseDir}/bin/run.mjs --operation ...` → 文档声明与代码实现一致，无需修改	`bin/run.mjs:1`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`NONE`	—	run.mjs 无文件系统操作
Network	`READ`	`READ`	✓ Aligned	run.mjs:87 仅发起 GET 请求到 api.justoneapi.com
Shell	`WRITE`	`NONE`	✗ Violation	SKILL.md 声明 Bash 执行，但代码只用 node fetch
Environment	`READ`	`READ`	✓ Aligned	run.mjs:73 仅读取 JUST_ONE_API_TOKEN
Skill Invoke	`NONE`	`NONE`	—	无跨技能调用
Clipboard	`NONE`	`NONE`	—	无剪贴板访问
Browser	`NONE`	`NONE`	—	无浏览器自动化
Database	`NONE`	`NONE`	—	无数据库操作

3 findings

🔗

Medium External URL 外部 URL

https://api.justoneapi.com

SKILL.md:5

🔗

Medium External URL 外部 URL

https://dashboard.justoneapi.com/

SKILL.md:48

🔗

Medium External URL 外部 URL

https://docs.justoneapi.com/en/usage

SKILL.md:49

4 files · 19.0 KB · 616 lines

JavaScript 1f · 343L JSON 1f · 141L Markdown 2f · 132L

├─ ▾ 📁 bin

│ └─ 📜 run.mjs JavaScript 343L · 9.6 KB

├─ ▾ 📁 generated

│ ├─ 📋 operations.json JSON 141L · 4.2 KB

│ └─ 📝 operations.md Markdown 75L · 2.2 KB

└─ 📝 SKILL.md Markdown 57L · 2.9 KB

✓ 纯 API 包装器，代码量小(343行)且逻辑透明

✓ 声明-行为一致，无阴影功能

✓ 无凭证外泄、文件写入、网络扫描等高危操作

✓ 使用标准 fetch API，无自定义协议或加密通信

✓ 参数验证完善，有清晰的错误处理