中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:2 days ago Rescan
5 /100
weshop-cli-skill
图像编辑和生成工具,通过 weshop CLI 实现虚拟试穿、模特替换、背景替换、姿势调整等
纯文档型技能,仅包含 SKILL.md,无脚本代码。声明通过 weshop CLI 调用图像生成服务,API 密钥使用规范明确且安全警告完善。
Skill Nameweshop-cli-skill
Duration27.8s
Enginepi
Safe to install
可安全使用。建议确认实际部署环境中的 weshop-cli 版本与声明一致。

Findings 2 items

Severity Finding Location
Low
外部 npm 依赖引入供应链风险
技能依赖 weshop-cli npm 包,该包为第三方代码,未经审计。攻击者可能通过供应链攻击篡改依赖。
npm install -g [email protected]
→ 建议在受控环境中安装依赖,验证包完整性哈希。
 SKILL.md:27
Info
外部 URL 引用
文档引用了 open.weshop.ai 和 npmjs.com URL,但均为合法服务地址。
https://open.weshop.ai/authorization/apikey
→ 无需处理,属于正常服务引用。
 SKILL.md:23
ResourceDeclaredInferredStatusEvidence
Filesystem READ READ ✓ Aligned SKILL.md:56 说明本地文件路径会自动上传
Network READ READ ✓ Aligned SKILL.md:10 声明 API key 仅发送到 openapi.weshop.ai
Environment READ READ ✓ Aligned SKILL.md:14 读取 WESHOP_API_KEY 环境变量
Shell NONE NONE SKILL.md 无任何 shell 命令执行声明
3 findings
🔗
Medium External URL 外部 URL
https://open.weshop.ai/authorization/apikey.
SKILL.md:23
🔗
Medium External URL 外部 URL
https://www.npmjs.com/package/weshop-cli
SKILL.md:27
🔗
Medium External URL 外部 URL
https://open.weshop.ai/authorization/apikey
SKILL.md:31

File Tree

1 files · 3.8 KB · 96 lines
Markdown 1f · 96L
└─ 📝 SKILL.md Markdown 96L · 3.8 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
weshop-cli 0.1.0 npm No 第三方 CLI 工具,供应链风险低但存在

Security Positives

✓ API 密钥使用规范完善,明确要求从环境变量读取而非命令行参数
✓ 安全警告完善,明确告知勿将 API key 发送到非声明域名
✓ 无脚本代码,无直接执行风险
✓ 文档结构清晰,命令说明完整
✓ 版本声明明确(weshop-cli 0.1.0)
✓ 输出格式规范,解析规则清晰