中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 5/100
Last scan:3 hr ago Rescan
5 /100
x-mobile-longshot
Render X (Twitter) posts into mobile-style long screenshots and optional single-page PDFs using Playwright
x-mobile-longshot 是一个合法的 X (Twitter) 截图渲染工具,使用 Playwright 和 Pillow 进行网页截图和图像处理,未发现任何恶意行为或未声明功能。
Skill Namex-mobile-longshot
Duration25.1s
Enginepi
ClawHub X Mobile Longshot / X 真机感长截图导出 v1.0.1 by spyfree
📥 182
ClawHub Verdict Suspicious dangerous_execllm_suspiciousvt_suspicious
Safe to install
该技能可安全使用。代码行为与文档描述完全一致,无阴影功能,无凭证收割,无数据外泄。

Findings 1 items

Severity Finding Location
Info
隐式 shell 执行权限 Priv Escalation
代码使用 spawnSync('python3', ...) 执行 Python 代码进行图像处理,虽然未在 SKILL.md 中声明,但这是实现 PDF 生成和图像合成的必要技术手段,用途合理且不涉及敏感操作。
const r = spawnSync('python3', ['-c', code], { encoding: 'utf8' });
→ 建议在 SKILL.md 中声明需要 shell 执行权限以生成 PDF,或考虑使用纯 Node.js 图像库替代 spawnSync
 scripts/render_x_longshot.js:99
ResourceDeclaredInferredStatusEvidence
Filesystem WRITE WRITE ✓ Aligned 代码创建输出目录和写入 PNG/PDF 文件,与 SKILL.md 声明的输出功能一致
Network READ READ ✓ Aligned 仅访问用户通过 --url 参数提供的 X URL,符合声明的截图功能
Shell NONE WRITE ✓ Aligned scripts/render_x_longshot.js:99 使用 spawnSync 执行 python3 命令,但仅用于图像处理
1 findings
🔗
Medium External URL 外部 URL
https://x.com/i/status/2030475950752710891
SKILL.md:16

File Tree

3 files · 9.4 KB · 280 lines
JavaScript 1f · 171L Markdown 2f · 109L
├─ 📁 references
│ └─ 📝 notes.md Markdown 29L · 1.5 KB
├─ 📁 scripts
│ └─ 📜 render_x_longshot.js JavaScript 171L · 5.1 KB
└─ 📝 SKILL.md Markdown 80L · 2.8 KB

Dependencies 2 items

PackageVersionSourceKnown VulnsNotes
playwright * npm/pip No 声明了使用 Playwright,但 package.json 需用户自行安装
Pillow * pip No 用于图像处理,代码中使用但未声明版本锁定

Security Positives

✓ 代码行为与 SKILL.md 文档描述完全一致
✓ 无隐藏功能或阴影操作
✓ 无凭证窃取或环境变量遍历
✓ 无数据外泄或外部 C2 通信
✓ 无 Base64/eval 等混淆技术
✓ 仅访问用户明确提供的 URL
✓ 使用标准图像库(Pillow)进行合理用途
✓ 代码结构清晰,易于审查