Name: x-bookmark-triage 安全扫描报告 — 可信 | ClawSafe
Item: x-bookmark-triage
Rating: 95
Author: ClawSafe

5 /100

x-bookmark-triage

X/Twitter书签自动分类工具，调用Claude评分后发布到Discord

合法的X书签整理工具，将Twitter书签通过Claude分类并发布到Discord，代码透明，无恶意行为。

技能名称x-bookmark-triage

分析耗时52.4s

引擎pi

ClawHub X Bookmark Triage v1.0.0 by jeremyknows

📥 156 📦 2

ClawHub 判定可疑 dangerous_execenv_credential_accessllm_suspiciouspotential_exfiltration

✓

可以安装

该技能安全可信，可正常使用。建议确保.env文件不提交到版本控制。

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	SKILL.md:11-12 声明数据文件写入
网络访问	`READ`	`READ`	✓ 一致	SKILL.md:13 仅调用X/Discord/Anthropic官方API
命令执行	`WRITE`	`WRITE`	✓ 一致	SKILL.md:11 spawnSync+curl用于API调用
环境变量	`READ`	`READ`	✓ 一致	读取OAuth凭证和API密钥，功能必需

17 项发现

🔗

中危外部 URL 外部 URL

https://developer.x.com

README.md:28

🔗

中危外部 URL 外部 URL

https://discord.com/developers/applications

README.md:32

🔗

中危外部 URL 外部 URL

https://console.anthropic.com

README.md:35

🔗

中危外部 URL 外部 URL

https://x.com/someone/status/123

README.md:59

🔗

中危外部 URL 外部 URL

https://x.com/...

README.md:81

🔗

中危外部 URL 外部 URL

https://x.com/anthropic/status/...

README.md:128

🔗

中危外部 URL 外部 URL

https://x.com/@username/status/1234567890

SKILL.md:55

🔗

中危外部 URL 外部 URL

http://www.apple.com/DTDs/PropertyList-1.0.dtd

references/cron-setup.md:31

🔗

中危外部 URL 外部 URL

https://x.com/i/oauth2/authorize?...

references/oauth-setup.md:34

🔗

中危外部 URL 外部 URL

https://api.x.com/2/users/me

references/oauth-setup.md:73

🔗

中危外部 URL 外部 URL

https://api.x.com/2/oauth2/token

scripts/backlog-sweep.js:71

🔗

中危外部 URL 外部 URL

https://api.x.com/2/users/$

scripts/backlog-sweep.js:112

🔗

中危外部 URL 外部 URL

https://discord.com/api/v10/channels/$

scripts/poll-channel.js:47

🔗

中危外部 URL 外部 URL

https://nodejs.org

scripts/setup-check.js:27

🔗

中危外部 URL 外部 URL

https://api.fxtwitter.com/$

scripts/triage-url.js:70

🔗

中危外部 URL 外部 URL

https://markdown.new/$

scripts/triage-url.js:90

🔗

中危外部 URL 外部 URL

https://twitter.com/i/oauth2/authorize

scripts/x-oauth2-authorize.js:45

目录结构

13 文件 · 73.6 KB · 2103 行

JavaScript 6f · 1308L Markdown 5f · 751L Shell 1f · 23L Text 1f · 21L

├─ ▾ 📁 references

│ ├─ 📝 adapting.md Markdown 126L · 4.3 KB

│ ├─ 📝 cron-setup.md Markdown 96L · 2.8 KB

│ └─ 📝 oauth-setup.md Markdown 79L · 2.6 KB

├─ ▾ 📁 scripts

│ ├─ 📜 backlog-sweep.js JavaScript 305L · 11.8 KB

│ ├─ 📜 bookmark-poll.js JavaScript 270L · 9.2 KB

│ ├─ 📜 poll-channel.js JavaScript 123L · 4.1 KB

│ ├─ 🔧 run-poll.sh Shell 23L · 990 B

│ ├─ 📜 setup-check.js JavaScript 84L · 2.2 KB

│ ├─ 📜 triage-url.js JavaScript 360L · 12.6 KB

│ └─ 📜 x-oauth2-authorize.js JavaScript 166L · 5.4 KB

├─ 📄 LICENSE.txt Text 21L · 1.1 KB

├─ 📝 README.md Markdown 218L · 7.7 KB

└─ 📝 SKILL.md Markdown 232L · 8.8 KB

安全亮点

✓ OAuth 2.0 PKCE流程实现正确

✓ Token文件使用0o600权限保护

✓ Token值从不打印到stdout

✓ 所有网络调用仅指向合法官方API(api.x.com, discord.com, api.anthropic.com)

✓ 代码无混淆、无base64执行、无eval滥用

✓ 使用spawnSync显式参数避免shell注入

✓ 文档与行为完全一致