Name: zeplin-to-prompt Security Report — Trusted | ClawSafe
Item: zeplin-to-prompt
Rating: 95
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

5 /100

zeplin-to-prompt

Export Zeplin designs into structured layer tree with local assets, package as zip

zeplin-to-prompt 是一个合法的 Zeplin 设计导出工具，声称与实际能力完全一致，无恶意行为发现

Skill Namezeplin-to-prompt

Duration35.3s

Enginepi

ClawHub Zeplin to Prompt v1.0.1 by sullivangu

📥 149

ClawHub Verdict Suspicious dangerous_execenv_credential_accessllm_suspicious

✓

Safe to install

可直接使用

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	export_screen.mjs:75-82 writeText/writeJSON 调用
Network	`READ`	`READ`	✓ Aligned	export_screen.mjs:70 zeplinGet() 调用 Zeplin API
Shell	`WRITE`	`WRITE`	✓ Aligned	SKILL.md:48 execFileSync 调用
Environment	`READ`	`READ`	✓ Aligned	export_screen.mjs:64 读取 ZEPLIN_TOKEN
Skill Invoke	`NONE`	`NONE`	—	无跨skill调用
Clipboard	`NONE`	`NONE`	—	未使用
Browser	`NONE`	`NONE`	—	仅生成 HTML 文件供用户打开
Database	`NONE`	`NONE`	—	无数据库操作

9 findings

🔗

Medium External URL 外部 URL

https://app.zeplin.io/project/

README.md:18

🔗

Medium External URL 外部 URL

https://app\.zeplin\.io/project/[^[:space:

SKILL.md:17

🔗

Medium External URL 外部 URL

https://app.zeplin.io/project/xxx/screen/aaa

SKILL.md:24

🔗

Medium External URL 外部 URL

https://app.zeplin.io/project/xxx/screen/bbb

SKILL.md:25

🔗

Medium External URL 外部 URL

https://api.zeplin.dev/v1

export_project.mjs:48

🔗

Medium External URL 外部 URL

https://app.zeplin.io/project/xxx/screen/yyy

export_screen.mjs:20

🔗

Medium External URL 外部 URL

https://app.zeplin.io/project/$

lib/htmlDocument.mjs:23

🔗

Medium External URL 外部 URL

https://opencollective.com/core-js

package-lock.json:78

🔗

Medium External URL 外部 URL

https://dotenvx.com

package-lock.json:99

File Tree

20 files · 171.2 KB · 4541 lines

JavaScript 15f · 3899L JSON 2f · 353L Markdown 2f · 213L CSS 1f · 76L

├─ ▾ 📁 lib

│ ├─ 📜 assets.mjs JavaScript 282L · 9.2 KB

│ ├─ 📜 fsHelpers.mjs JavaScript 29L · 989 B

│ ├─ 📜 htmlDocument.mjs JavaScript 83L · 4.2 KB

│ ├─ 📜 layerTree.mjs JavaScript 505L · 19.1 KB

│ ├─ 📜 logger.mjs JavaScript 34L · 887 B

│ ├─ 📜 minifyLayout.mjs JavaScript 158L · 4.8 KB

│ ├─ 📜 previewClient.js JavaScript 1238L · 45.3 KB

│ ├─ 📄 previewStyles.css CSS 76L · 8.1 KB

│ ├─ 📜 renderHtml.mjs JavaScript 4L · 233 B

│ ├─ 📜 renderIndex.mjs JavaScript 74L · 3.5 KB

│ ├─ 📜 renderLayer.mjs JavaScript 344L · 16.1 KB

│ ├─ 📜 renderTree.mjs JavaScript 98L · 4.9 KB

│ ├─ 📜 styleMapping.mjs JavaScript 590L · 20.6 KB

│ └─ 📜 zeplinClient.mjs JavaScript 8L · 345 B

├─ 📜 export_project.mjs JavaScript 203L · 6.7 KB

├─ 📜 export_screen.mjs JavaScript 249L · 8.6 KB

├─ 📋 package-lock.json JSON 337L · 11.6 KB

├─ 📋 package.json JSON 16L · 303 B

├─ 📝 README.md Markdown 65L · 1.9 KB

└─ 📝 SKILL.md Markdown 148L · 4.1 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`@zeplin/sdk`	`^1.34.0`	npm	No	官方 SDK，版本锁定
`dotenv`	`^17.2.3`	npm	No	环境变量加载，仅本地开发使用

Security Positives

✓ SKILL.md 完整声明了所有 shell 命令用法（grep、zip、node）

✓ 凭证存储使用 0o600 权限（仅所有者可读写），安全最佳实践

✓ 使用官方 @zeplin/sdk 包，非自行实现 API 通信

✓ 所有外部网络请求仅限于 Zeplin 官方域名 (api.zeplin.dev, app.zeplin.io)

✓ 无 base64/eval 混淆、无远程脚本执行、无凭证外传

✓ 文件写入仅限于 build/ 子目录，范围受限

✓ dotenv 依赖用于本地开发环境变量，无运行时凭证加载风险

Scan Report

File Tree

Dependencies 2 items

Security Positives