weshop-cli-skill 安全扫描报告 — 可信 | ClawSafe

5 /100

weshop-cli-skill

图像编辑和生成工具，通过 weshop CLI 实现虚拟试穿、模特替换、背景替换、姿势调整等

纯文档型技能，仅包含 SKILL.md，无脚本代码。声明通过 weshop CLI 调用图像生成服务，API 密钥使用规范明确且安全警告完善。

技能名称weshop-cli-skill

分析耗时27.8s

引擎pi

✓

可以安装

可安全使用。建议确认实际部署环境中的 weshop-cli 版本与声明一致。

安全发现 2 项

严重性	安全发现	位置
低危	外部 npm 依赖引入供应链风险技能依赖 weshop-cli npm 包，该包为第三方代码，未经审计。攻击者可能通过供应链攻击篡改依赖。 `npm install -g [email protected]` → 建议在受控环境中安装依赖，验证包完整性哈希。	`SKILL.md:27`
提示	外部 URL 引用文档引用了 open.weshop.ai 和 npmjs.com URL，但均为合法服务地址。 `https://open.weshop.ai/authorization/apikey` → 无需处理，属于正常服务引用。	`SKILL.md:23`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	SKILL.md:56 说明本地文件路径会自动上传
网络访问	`READ`	`READ`	✓ 一致	SKILL.md:10 声明 API key 仅发送到 openapi.weshop.ai
环境变量	`READ`	`READ`	✓ 一致	SKILL.md:14 读取 WESHOP_API_KEY 环境变量
命令执行	`NONE`	`NONE`	—	SKILL.md 无任何 shell 命令执行声明

3 项发现

🔗

中危外部 URL 外部 URL

https://open.weshop.ai/authorization/apikey.

SKILL.md:23

🔗

中危外部 URL 外部 URL

https://www.npmjs.com/package/weshop-cli

SKILL.md:27

🔗

中危外部 URL 外部 URL

https://open.weshop.ai/authorization/apikey

SKILL.md:31

1 文件 · 3.8 KB · 96 行

Markdown 1f · 96L

└─ 📝 SKILL.md Markdown 96L · 3.8 KB

包名	版本	来源	已知漏洞	备注
`weshop-cli`	`0.1.0`	npm	否	第三方 CLI 工具，供应链风险低但存在

✓ API 密钥使用规范完善，明确要求从环境变量读取而非命令行参数

✓ 安全警告完善，明确告知勿将 API key 发送到非声明域名

✓ 无脚本代码，无直接执行风险

✓ 文档结构清晰，命令说明完整

✓ 版本声明明确（weshop-cli 0.1.0）

✓ 输出格式规范，解析规则清晰