Name: zeplin-to-prompt 安全扫描报告 — 可信 | ClawSafe
Item: zeplin-to-prompt
Rating: 95
Author: ClawSafe

5 /100

zeplin-to-prompt

Export Zeplin designs into structured layer tree with local assets, package as zip

zeplin-to-prompt 是一个合法的 Zeplin 设计导出工具，声称与实际能力完全一致，无恶意行为发现

技能名称zeplin-to-prompt

分析耗时35.3s

引擎pi

ClawHub Zeplin to Prompt v1.0.1 by sullivangu

📥 149

ClawHub 判定可疑 dangerous_execenv_credential_accessllm_suspicious

✓

可以安装

可直接使用

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	export_screen.mjs:75-82 writeText/writeJSON 调用
网络访问	`READ`	`READ`	✓ 一致	export_screen.mjs:70 zeplinGet() 调用 Zeplin API
命令执行	`WRITE`	`WRITE`	✓ 一致	SKILL.md:48 execFileSync 调用
环境变量	`READ`	`READ`	✓ 一致	export_screen.mjs:64 读取 ZEPLIN_TOKEN
技能调用	`NONE`	`NONE`	—	无跨skill调用
剪贴板	`NONE`	`NONE`	—	未使用
浏览器	`NONE`	`NONE`	—	仅生成 HTML 文件供用户打开
数据库	`NONE`	`NONE`	—	无数据库操作

9 项发现

🔗

中危外部 URL 外部 URL

https://app.zeplin.io/project/

README.md:18

🔗

中危外部 URL 外部 URL

https://app\.zeplin\.io/project/[^[:space:

SKILL.md:17

🔗

中危外部 URL 外部 URL

https://app.zeplin.io/project/xxx/screen/aaa

SKILL.md:24

🔗

中危外部 URL 外部 URL

https://app.zeplin.io/project/xxx/screen/bbb

SKILL.md:25

🔗

中危外部 URL 外部 URL

https://api.zeplin.dev/v1

export_project.mjs:48

🔗

中危外部 URL 外部 URL

https://app.zeplin.io/project/xxx/screen/yyy

export_screen.mjs:20

🔗

中危外部 URL 外部 URL

https://app.zeplin.io/project/$

lib/htmlDocument.mjs:23

🔗

中危外部 URL 外部 URL

https://opencollective.com/core-js

package-lock.json:78

🔗

中危外部 URL 外部 URL

https://dotenvx.com

package-lock.json:99

目录结构

20 文件 · 171.2 KB · 4541 行

JavaScript 15f · 3899L JSON 2f · 353L Markdown 2f · 213L CSS 1f · 76L

├─ ▾ 📁 lib

│ ├─ 📜 assets.mjs JavaScript 282L · 9.2 KB

│ ├─ 📜 fsHelpers.mjs JavaScript 29L · 989 B

│ ├─ 📜 htmlDocument.mjs JavaScript 83L · 4.2 KB

│ ├─ 📜 layerTree.mjs JavaScript 505L · 19.1 KB

│ ├─ 📜 logger.mjs JavaScript 34L · 887 B

│ ├─ 📜 minifyLayout.mjs JavaScript 158L · 4.8 KB

│ ├─ 📜 previewClient.js JavaScript 1238L · 45.3 KB

│ ├─ 📄 previewStyles.css CSS 76L · 8.1 KB

│ ├─ 📜 renderHtml.mjs JavaScript 4L · 233 B

│ ├─ 📜 renderIndex.mjs JavaScript 74L · 3.5 KB

│ ├─ 📜 renderLayer.mjs JavaScript 344L · 16.1 KB

│ ├─ 📜 renderTree.mjs JavaScript 98L · 4.9 KB

│ ├─ 📜 styleMapping.mjs JavaScript 590L · 20.6 KB

│ └─ 📜 zeplinClient.mjs JavaScript 8L · 345 B

├─ 📜 export_project.mjs JavaScript 203L · 6.7 KB

├─ 📜 export_screen.mjs JavaScript 249L · 8.6 KB

├─ 📋 package-lock.json JSON 337L · 11.6 KB

├─ 📋 package.json JSON 16L · 303 B

├─ 📝 README.md Markdown 65L · 1.9 KB

└─ 📝 SKILL.md Markdown 148L · 4.1 KB

依赖分析 2 项

包名	版本	来源	已知漏洞	备注
`@zeplin/sdk`	`^1.34.0`	npm	否	官方 SDK，版本锁定
`dotenv`	`^17.2.3`	npm	否	环境变量加载，仅本地开发使用

安全亮点

✓ SKILL.md 完整声明了所有 shell 命令用法（grep、zip、node）

✓ 凭证存储使用 0o600 权限（仅所有者可读写），安全最佳实践

✓ 使用官方 @zeplin/sdk 包，非自行实现 API 通信

✓ 所有外部网络请求仅限于 Zeplin 官方域名 (api.zeplin.dev, app.zeplin.io)

✓ 无 base64/eval 混淆、无远程脚本执行、无凭证外传

✓ 文件写入仅限于 build/ 子目录，范围受限

✓ dotenv 依赖用于本地开发环境变量，无运行时凭证加载风险