Name: weread-import 安全扫描报告 — 可信 | ClawSafe
Item: weread-import
Rating: 95
Author: ClawSafe

5 /100

weread-import

Export WeRead highlights and notes into Markdown files

weread-import 是合法的微信读书笔记导出工具，预扫描标记的「硬编码 IP」为误报（146.0.0.0 是 Chrome User-Agent 版本号），代码行为与声明完全一致，无阴影功能。

技能名称weread-import

分析耗时48.3s

引擎pi

ClawHub Weread Import v0.3.0 by gnixner

📥 182 📦 1

ClawHub 判定可疑 env_credential_accessvt_suspicious

✓

可以安装

可安全使用。

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	SKILL.md:18 写入 Markdown 文件
网络访问	`READ`	`READ`	✓ 一致	SKILL.md:18 声明 API 请求
浏览器	`READ`	`READ`	✓ 一致	src/cookie.mjs:4 使用 Playwright CDP 连接本地 Chrome
命令执行	`WRITE`	`WRITE`	✓ 一致	scripts/run.sh:14 使用 curl 检测 CDP 端口

1 高危 7 项发现

📡

高危 IP 地址硬编码 IP 地址

146.0.0.0

src/api.mjs:5

🔗

中危外部 URL 外部 URL

http://127.0.0.1:9222

README.md:91

🔗

中危外部 URL 外部 URL

https://weread.qq.com/

README.md:99

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/fsevents/-/fsevents-2.3.2.tgz

package-lock.json:20

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/playwright/-/playwright-1.58.2.tgz

package-lock.json:34

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/playwright-core/-/playwright-core-1.58.2.tgz

package-lock.json:52

🔗

中危外部 URL 外部 URL

https://weread.qq.com

src/api.mjs:4

目录结构

27 文件 · 67.2 KB · 1962 行

JavaScript 15f · 1140L Markdown 8f · 649L JSON 2f · 108L Shell 2f · 65L

├─ ▾ 📁 docs

│ └─ 📝 DESIGN.md Markdown 72L · 1.8 KB

├─ ▾ 📁 examples

│ └─ 📝 sample-output.md Markdown 66L · 1.1 KB

├─ ▾ 📁 references

│ └─ 📝 workflows.md Markdown 77L · 2.3 KB

├─ ▾ 📁 scripts

│ ├─ 🔧 open-chrome-debug.sh Shell 38L · 1.2 KB

│ └─ 🔧 run.sh Shell 27L · 894 B

├─ ▾ 📁 src

│ ├─ 📜 api.mjs JavaScript 77L · 3.3 KB

│ ├─ 📜 cli.mjs JavaScript 193L · 8.9 KB

│ ├─ 📜 cookie.mjs JavaScript 23L · 1.0 KB

│ ├─ 📜 entries.mjs JavaScript 68L · 2.6 KB

│ ├─ 📜 errors.mjs JavaScript 13L · 261 B

│ ├─ 📜 index.mjs JavaScript 9L · 937 B

│ ├─ 📜 markdown-parser.mjs JavaScript 88L · 3.3 KB

│ ├─ 📜 merge.mjs JavaScript 113L · 4.5 KB

│ ├─ 📜 render.mjs JavaScript 128L · 5.2 KB

│ ├─ 📜 state.mjs JavaScript 18L · 639 B

│ └─ 📜 utils.mjs JavaScript 16L · 568 B

├─ ▾ 📁 tests

│ ├─ 📜 merge.test.mjs JavaScript 98L · 3.7 KB

│ ├─ 📜 parser.test.mjs JavaScript 128L · 3.5 KB

│ ├─ 📜 render.test.mjs JavaScript 99L · 3.6 KB

│ └─ 📜 utils.test.mjs JavaScript 69L · 1.9 KB

├─ 📝 CLAUDE.md Markdown 46L · 1.9 KB

├─ 📝 env.example.md Markdown 17L · 390 B

├─ 📋 package-lock.json JSON 63L · 1.7 KB

├─ 📋 package.json JSON 45L · 977 B

├─ 📝 README.md Markdown 189L · 5.4 KB

├─ 📝 SKILL.md Markdown 113L · 4.6 KB

└─ 📝 TEMPLATE.md Markdown 69L · 1.1 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`playwright`	`^1.53.0`	npm	否	版本锁定至次版本，用于浏览器 CDP 连接

安全亮点

✓ 代码结构清晰，单一职责分明（15 个模块各司其职）

✓ 文档与代码行为完全一致，无阴影功能

✓ 依赖单一：仅使用 playwright，版本锁定 ^1.53.0

✓ 敏感操作有合理解释：Cookie 同步仅用于本地提取

✓ 无远程代码执行、无凭证外传、无环境变量遍历

✓ 使用 node:test 内置测试框架，无额外测试依赖