中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 5/100
Last scan:2 hr ago Rescan
5 /100
wechat-auto-publishing-complete
微信公众号自动发文完整工作流:环境准备 → 资讯整理 → 写稿 → 图片准备 → 草稿发布 → 正式发布 → 结果归档 → 定时调度
这是一个合法的微信公众号自动发文工作流技能,所有功能与声明一致,无恶意行为。
Skill Namewechat-auto-publishing-complete
Duration38.5s
Enginepi
ClawHub 全流程微信公众号自动发文 skill v3.0.0 by 16miku
📥 37
ClawHub Verdict Suspicious env_credential_accessllm_suspiciouspotential_exfiltration
Safe to install
可直接使用。注意妥善保管 .env 中的 WECHAT_APP_SECRET,定期轮换。
ResourceDeclaredInferredStatusEvidence
Filesystem READ READ ✓ Aligned templates/publish.mjs:91-101 读取本地 article.md, cover.png
Network READ READ ✓ Aligned 仅访问 api.weixin.qq.com 微信官方 API,无外部可疑请求
Shell NONE NONE templates/run.sh 为注释模板,无实际执行命令
Environment READ READ ✓ Aligned publish.mjs:26-31 删除代理变量用于安全连接微信 API
Clipboard NONE NONE 未使用剪贴板相关 API
5 findings
🔗
Medium External URL 外部 URL
https://api.ikuncode.cc/
references/environment-and-config.md:70
🔗
Medium External URL 外部 URL
http://127.0.0.1:7890
references/environment-and-config.md:95
🔗
Medium External URL 外部 URL
https://api.weixin.qq.com/cgi-bin/freepublish/get?access_token=TOKEN
references/scheduling-and-alerting.md:69
🔗
Medium External URL 外部 URL
http://mp.weixin.qq.com/s?__biz=xxx
templates/publish-result.example.json:11
🔗
Medium External URL 外部 URL
https://api.weixin.qq.com
templates/publish.mjs:33

File Tree

21 files · 63.3 KB · 2055 lines
Markdown 13f · 1482L JavaScript 1f · 441L Shell 2f · 72L Text 4f · 47L JSON 1f · 13L
├─ 📁 references
│ ├─ 📝 environment-and-config.md Markdown 194L · 4.6 KB
│ ├─ 📝 image-strategy.md Markdown 144L · 3.8 KB
│ ├─ 📝 publishing.md Markdown 150L · 5.0 KB
│ ├─ 📝 scheduling-and-alerting.md Markdown 93L · 2.9 KB
│ ├─ 📝 security-boundary.md Markdown 64L · 2.4 KB
│ ├─ 📝 source-gathering.md Markdown 52L · 1.2 KB
│ └─ 📝 writing-style.md Markdown 143L · 3.6 KB
├─ 📁 templates
│ ├─ 📝 article-template.md Markdown 48L · 702 B
│ ├─ 📝 cover-image-extend.example.md Markdown 18L · 329 B
│ ├─ 📄 cron.example.txt Text 12L · 733 B
│ ├─ 📄 env.example.txt Text 8L · 519 B
│ ├─ 📄 gallery-config.example.txt Text 11L · 335 B
│ ├─ 📝 image-gen-extend.example.md Markdown 12L · 225 B
│ ├─ 📋 publish-result.example.json JSON 13L · 386 B
│ ├─ 📜 publish.mjs JavaScript 441L · 14.4 KB
│ ├─ 🔧 run.production-example.sh Shell 33L · 1.1 KB
│ ├─ 🔧 run.sh Shell 39L · 1.3 KB
│ └─ 📄 workspace-tree.txt Text 16L · 354 B
├─ 📝 README.md Markdown 194L · 6.0 KB
├─ 📝 runbook.md Markdown 106L · 3.6 KB
└─ 📝 SKILL.md Markdown 264L · 10.0 KB

Security Positives

✓ 所有敏感凭证使用占位符,无真实值硬编码
✓ SKILL.md 明确声明不包含真实密钥,符合设计原则
✓ publish.mjs 纯 Node.js 实现,零第三方依赖,可审计性强
✓ 代码注释详尽,意图清晰
✓ 安全边界文档详细说明代理清除必要性
✓ 仅访问微信官方 API,无第三方可疑服务
✓ 凭证仅用于本地微信 API 调用,无数据外传