Name: image-compress 安全扫描报告 — 可信 | ClawSafe
Item: image-compress
Rating: 95
Author: ClawSafe

5 /100

image-compress

跨平台图片压缩工具，基于 sharp 实现高效压缩（节省 60-80% 体积）

这是一个完全合法的图片压缩工具，所有代码行为与文档声明一致，无恶意活动迹象。

技能名称image-compress

分析耗时36.5s

引擎pi

ClawHub skill-image-compress v0.1.0 by justzerox

📥 262 📦 1

ClawHub 判定可疑 dangerous_exec

✓

可以安装

可直接使用，所有行为均在预期范围内。

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	scripts/compress.js:35 — 读取用户指定的图片文件进行处理
文件系统	`WRITE`	`WRITE`	✓ 一致	scripts/compress.js:62-63 — 写入压缩结果到输出目录（~/Downloads/compressed-images/）
命令执行	`NONE`	`READ`	✓ 一致	scripts/detect-env.js:15-17 — 仅执行 node --version 和 npm --version 检测环境
环境变量	`NONE`	`READ`	✓ 一致	scripts/compress.js:35 — 使用 homedir() 获取用户目录路径

10 项发现

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/License-MIT-yellow.svg

README.md:3

🔗

中危外部 URL 外部 URL

https://opensource.org/licenses/MIT

README.md:3

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/OpenClaw-Skill-blue

README.md:4

🔗

中危外部 URL 外部 URL

https://openclaw.ai

README.md:4

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/Powered%20by-sharp-brightgreen

README.md:5

🔗

中危外部 URL 外部 URL

https://sharp.pixelplumbing.com

README.md:5

🔗

中危外部 URL 外部 URL

https://sharp.pixelplumbing.com/

README.md:251

🔗

中危外部 URL 外部 URL

https://nodejs.org/en/download

scripts/detect-env.js:33

🔗

中危外部 URL 外部 URL

https://deb.nodesource.com/setup_lts.x

scripts/detect-env.js:44

🔗

中危外部 URL 外部 URL

https://rpm.nodesource.com/setup_lts.x

scripts/detect-env.js:45

目录结构

9 文件 · 41.2 KB · 1576 行

Markdown 3f · 944L JavaScript 4f · 618L JSON 2f · 14L

├─ ▾ 📁 references

│ └─ 📝 technical.md Markdown 158L · 3.4 KB

├─ ▾ 📁 scripts

│ ├─ 📜 compress.js JavaScript 389L · 11.7 KB

│ ├─ 📜 detect-env.js JavaScript 109L · 2.6 KB

│ ├─ 📜 install.js JavaScript 45L · 1.0 KB

│ └─ 📜 post-install.js JavaScript 75L · 2.5 KB

├─ 📋 config.example.json JSON 4L · 114 B

├─ 📋 package.json JSON 10L · 208 B

├─ 📝 README.md Markdown 531L · 12.8 KB

└─ 📝 SKILL.md Markdown 255L · 6.9 KB

依赖分析 2 项

包名	版本	来源	已知漏洞	备注
`sharp`	`^0.33.5`	npm	否	成熟知名库，由 Lovell 维护，处理图片压缩
`commander`	`^12.1.0`	npm	否	知名命令行参数解析库，由 tj 维护

安全亮点

✓ 文档完整清晰，声明了所有核心功能（单图/批量压缩、格式转换、画质/尺寸调整、预设）

✓ 代码行为与文档完全一致，无阴影功能

✓ 文件系统访问严格限制在用户图片目录和下载目录，无越权访问

✓ shell 执行仅用于环境检测（node/npm 版本），不执行任意命令

✓ 输出保护机制完善：永不覆盖原图、自动编号避免冲突、大文件确认提示

✓ 使用 sharp 成熟库，无自实现危险操作

✓ 配置写入作用域在 ~/.openclaw/workspace/skills/image-compress/config.json，合理且受控