中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:5 小时前 重新扫描
5 /100
skill-xhs-mcp-service
小红书(XHS/RED)自动化助手 - 完整的 MCP 服务端实现
合法的小红书自动化 MCP 服务,使用 Puppeteer 进行浏览器自动化,访问范围仅限于 xiaohongshu.com,预扫描标记的硬编码 IP (120.0.0.0) 为测试占位符地址,无实际恶意行为。
技能名称skill-xhs-mcp-service
分析耗时34.2s
引擎pi
ClawHub 小红书 MCP 服务 v1.1.0 by weznai
📥 173 📦 1
ClawHub 判定 可疑 dangerous_execenv_credential_accessllm_suspiciousvt_suspicious
可以安装
可直接使用,但建议在生产环境锁定依赖版本。

安全发现 2 项

严重性 安全发现 位置
低危
依赖版本未锁定 供应链
package.json 中多个依赖使用 ^ 范围版本而非精确版本,存在更新引入非预期变更的风险
"puppeteer": "^24.0.0"
→ 建议使用精确版本或锁死 minor 版本,如 "puppeteer": "24.0.0"
 package.json:30
低危
文档未声明系统资源权限 文档欺骗
SKILL.md 声明了 13 个工具,但未说明需要访问本地文件系统存储 cookies 的权限
功能列表仅包含业务工具,缺少技术权限声明
→ 建议在文档中明确声明需要 filesystem:WRITE 权限用于存储登录状态
 SKILL.md:1
资源类型声明权限推断权限状态证据
文件系统 NONE WRITE ✓ 一致 scripts/browser.js:74-80 - 读写 data/cookies.json
网络访问 NONE WRITE ✓ 一致 scripts/xhs-tools.js - 仅访问 xiaohongshu.com 域名
浏览器 NONE WRITE ✓ 一致 scripts/browser.js:34-64 - Puppeteer 浏览器控制
1 高危 8 项发现
📡
高危 IP 地址 硬编码 IP 地址
120.0.0.0
scripts/browser.js:59
🔗
中危 外部 URL 外部 URL
https://www.xiaohongshu.com
scripts/login.js:22
🔗
中危 外部 URL 外部 URL
https://creator.xiaohongshu.com/publish/publish
scripts/login.js:41
🔗
中危 外部 URL 外部 URL
https://www.xiaohongshu.com/explore/$
scripts/xhs-tools.js:44
🔗
中危 外部 URL 外部 URL
https://www.xiaohongshu.com$
scripts/xhs-tools.js:87
🔗
中危 外部 URL 外部 URL
https://www.xiaohongshu.com/explore
scripts/xhs-tools.js:206
🔗
中危 外部 URL 外部 URL
https://www.xiaohongshu.com/search_result?keyword=$
scripts/xhs-tools.js:244
🔗
中危 外部 URL 外部 URL
https://www.xiaohongshu.com/user/profile/$
scripts/xhs-tools.js:490

目录结构

13 文件 · 73.7 KB · 2837 行
JavaScript 9f · 2163L Markdown 2f · 360L JSON 2f · 314L
├─ 📁 data
│ └─ 📋 cookies.json JSON 267L · 6.3 KB
├─ 📁 references
│ └─ 📝 api.md Markdown 232L · 4.6 KB
├─ 📁 scripts
│ ├─ 📜 browser.js JavaScript 162L · 3.5 KB
│ ├─ 📜 ensure-service.js JavaScript 113L · 2.6 KB
│ ├─ 📜 index-fixed.js JavaScript 293L · 8.7 KB
│ ├─ 📜 index-progressive.js JavaScript 61L · 1.8 KB
│ ├─ 📜 index-sse.js JavaScript 215L · 5.0 KB
│ ├─ 📜 index.js JavaScript 460L · 12.3 KB
│ ├─ 📜 login.js JavaScript 100L · 2.4 KB
│ ├─ 📜 utils.js JavaScript 82L · 1.4 KB
│ └─ 📜 xhs-tools.js JavaScript 677L · 20.6 KB
├─ 📋 package.json JSON 47L · 1.1 KB
└─ 📝 SKILL.md Markdown 128L · 3.3 KB

依赖分析 5 项

包名版本来源已知漏洞备注
@modelcontextprotocol/sdk ^1.0.0 npm 无版本锁定
express ^4.18.2 npm 无版本锁定
puppeteer ^24.0.0 npm 无版本锁定
qrcode ^1.5.3 npm 无版本锁定
zod ^3.22.0 npm 无版本锁定

安全亮点

✓ 所有网络请求仅指向 xiaohongshu.com,无外部数据外泄
✓ 无凭证收割、环境变量遍历等敏感信息窃取行为
✓ 无 base64 编码、eval 动态执行等混淆技术
✓ 无远程脚本下载执行行为
✓ 硬编码 IP 120.0.0.0 为私有占位地址,非实际 C2 服务器
✓ 使用标准 Puppeteer API 实现浏览器自动化,符合最佳实践
✓ Cookies 仅存储在本地 data/cookies.json,无外传行为