davinci-auto-editor 安全扫描报告 — 可信 | ClawSafe

5 /100

davinci-auto-editor

Scan local media, request a cloud editing plan, and generate a Resolve-importable EDL package with pure Node

DaVinci Auto Editor 是合法的视频编辑自动化工具，文档与代码行为完全一致，无越权操作或阴影功能，预扫描标记的硬编码 IP 属于合法的云端 API 服务地址

技能名称davinci-auto-editor

分析耗时42.6s

引擎pi

✓

可以安装

可直接使用，建议用户配置自己的 api_base_url 而非使用示例 IP

安全发现 1 项

严重性	安全发现	位置
提示	示例配置包含外部 API 地址供应链 examples/config.example.json 中硬编码了 IP 地址 43.137.46.105:8787，这是示例配置文件，用户需要替换为自己的 api_base_url `"api_base_url": "http://43.137.46.105:8787"` → 这是合法的视频编辑云端 API 示例地址，不构成安全威胁，但建议文档中明确标注用户必须替换	`examples/config.example.json:2`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	scripts/index.js:108 scanMaterials() 只读素材目录
文件系统	`WRITE`	`WRITE`	✓ 一致	scripts/index.js:66-68 仅在 _davinci_auto_editor/<taskId>/ 下写入 EDL 文件
网络访问	`WRITE`	`WRITE`	✓ 一致	scripts/index.js:185-206 仅 POST 到用户配置的 api_base_url

1 高危 2 项发现

📡

高危 IP 地址硬编码 IP 地址

43.137.46.105

examples/config.example.json:2

🔗

中危外部 URL 外部 URL

http://43.137.46.105:8787

examples/config.example.json:2

8 文件 · 25.3 KB · 821 行

JavaScript 1f · 470L Markdown 2f · 181L JSON 3f · 166L YAML 1f · 4L

├─ ▾ 📁 agents

│ └─ 📋 openai.yaml YAML 4L · 265 B

├─ ▾ 📁 assets

│ └─ 📦 icon.svg 578 B

├─ ▾ 📁 examples

│ └─ 📋 config.example.json JSON 23L · 676 B

├─ ▾ 📁 scripts

│ └─ 📜 index.js JavaScript 470L · 15.2 KB

├─ 📋 manifest.json JSON 118L · 2.6 KB

├─ 📋 package.json JSON 25L · 530 B

├─ 📝 README.md Markdown 108L · 3.0 KB

└─ 📝 SKILL.md Markdown 73L · 2.5 KB

✓ 文档与代码行为完全一致，无阴影功能

✓ 无 shell 执行、无 eval、无代码混淆

✓ 无凭证收割、无敏感路径访问（~/.ssh、~/.aws、.env）

✓ 无未声明的网络请求，所有请求都发往用户配置的 api_base_url

✓ 能力声明格与实际需求匹配：filesystem:READ + filesystem:WRITE + network:WRITE

✓ 使用原生 Node.js API，无外部恶意依赖

✓ 错误处理完善，有 try-catch 和超时控制