中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:4 小时前 重新扫描
5 /100
seedance-2-0
字节跳动 Seedance 2.0 AI 视频生成技能,支持文生图、文生视频,提供申请指南和快速生成封装
合法的字节跳动 Seedance 2.0 API 调用封装工具,代码行为与文档声明完全一致,无恶意操作
技能名称seedance-2-0
分析耗时46.0s
引擎pi
ClawHub seedance2.0 v1.0.1 by airoyi
📥 12
ClawHub 判定 可疑 env_credential_accessllm_suspicious
可以安装
可安全使用

安全发现 1 项

严重性 安全发现 位置
低危
文件系统写入权限未声明 权限提升
SKILL.md 仅声明读取环境变量配置,但代码实际使用 fs.writeFileSync 将生成的视频写入本地磁盘
fs.writeFileSync(options.outputPath, videoBuffer);
→ 建议在 SKILL.md 文档中明确声明 '下载结果' 功能涉及文件系统写入权限
 seedance2.0.ts:167
资源类型声明权限推断权限状态证据
环境变量 READ READ ✓ 一致 seedance2.0.ts:55-62 getApiConfig() 读取 ARK_API_KEY 和 ARK_BASE_URL
网络访问 READ WRITE ✓ 一致 seedance2.0.ts:139-148 调用火山引擎 API 生成视频,POST 请求携带 API Key
文件系统 NONE WRITE ✗ 越权 seedance2.0.ts:167-172 fs.writeFileSync(options.outputPath, videoBuffer) 写入视频文件
3 项发现
🔗
中危 外部 URL 外部 URL
https://partner.volcengine.com/partners/auth/confirm?inviteToken=Z804VS6L0OUHUALB0UA450PEUPSJ4TYN4LA4JPO6F652OBSUUKI94FY...
README.md:96
🔗
中危 外部 URL 外部 URL
https://ark.cn-beijing.volces.com/api/v3
SKILL.md:56
🔗
中危 外部 URL 外部 URL
https://fcndvyb6ssj0.feishu.cn/wiki/Y5gMwATc1i6A3BkpDGZc84axn4b
seedance2.0.ts:248

目录结构

4 文件 · 16.8 KB · 533 行
TypeScript 1f · 327L Markdown 2f · 184L JSON 1f · 22L
├─ 📋 package.json JSON 22L · 586 B
├─ 📝 README.md Markdown 101L · 3.3 KB
├─ 📜 seedance2.0.ts TypeScript 327L · 10.3 KB
└─ 📝 SKILL.md Markdown 83L · 2.6 KB

依赖分析 1 项

包名版本来源已知漏洞备注
dotenv ^16.4.5 npm 环境变量加载库,合法用途,无安全风险

安全亮点

✓ 代码结构清晰,TypeScript 类型定义完整
✓ 功能与文档声明完全一致,无阴影功能
✓ API 调用逻辑正常,仅向火山引擎官方 API 发送请求
✓ 依赖简单,仅使用 dotenv 加载环境变量,无可疑第三方依赖
✓ 无 shell 执行、无凭证外传、无代码混淆