Name: x-mobile-longshot 安全扫描报告 — 可信 | ClawSafe
Item: x-mobile-longshot
Rating: 95
Author: ClawSafe

5 /100

x-mobile-longshot

Render X (Twitter) posts into mobile-style long screenshots and optional single-page PDFs using Playwright

x-mobile-longshot 是一个合法的 X (Twitter) 截图渲染工具，使用 Playwright 和 Pillow 进行网页截图和图像处理，未发现任何恶意行为或未声明功能。

技能名称x-mobile-longshot

分析耗时25.1s

引擎pi

📥 182

ClawHub 判定可疑 dangerous_execllm_suspiciousvt_suspicious

✓

可以安装

该技能可安全使用。代码行为与文档描述完全一致，无阴影功能，无凭证收割，无数据外泄。

安全发现 1 项

严重性	安全发现	位置
提示	隐式 shell 执行权限权限提升代码使用 spawnSync('python3', ...) 执行 Python 代码进行图像处理，虽然未在 SKILL.md 中声明，但这是实现 PDF 生成和图像合成的必要技术手段，用途合理且不涉及敏感操作。 `const r = spawnSync('python3', ['-c', code], { encoding: 'utf8' });` → 建议在 SKILL.md 中声明需要 shell 执行权限以生成 PDF，或考虑使用纯 Node.js 图像库替代 spawnSync	`scripts/render_x_longshot.js:99`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	代码创建输出目录和写入 PNG/PDF 文件，与 SKILL.md 声明的输出功能一致
网络访问	`READ`	`READ`	✓ 一致	仅访问用户通过 --url 参数提供的 X URL，符合声明的截图功能
命令执行	`NONE`	`WRITE`	✓ 一致	scripts/render_x_longshot.js:99 使用 spawnSync 执行 python3 命令，但仅用于图像处理

1 项发现

🔗

中危外部 URL 外部 URL

https://x.com/i/status/2030475950752710891

SKILL.md:16

目录结构

3 文件 · 9.4 KB · 280 行

JavaScript 1f · 171L Markdown 2f · 109L

├─ ▾ 📁 references

│ └─ 📝 notes.md Markdown 29L · 1.5 KB

├─ ▾ 📁 scripts

│ └─ 📜 render_x_longshot.js JavaScript 171L · 5.1 KB

└─ 📝 SKILL.md Markdown 80L · 2.8 KB

包名	版本	来源	已知漏洞	备注
`playwright`	`*`	npm/pip	否	声明了使用 Playwright，但 package.json 需用户自行安装
`Pillow`	`*`	pip	否	用于图像处理，代码中使用但未声明版本锁定

✓ 代码行为与 SKILL.md 文档描述完全一致

✓ 无隐藏功能或阴影操作

✓ 无凭证窃取或环境变量遍历

✓ 无数据外泄或外部 C2 通信

✓ 无 Base64/eval 等混淆技术

✓ 仅访问用户明确提供的 URL

✓ 使用标准图像库（Pillow）进行合理用途

✓ 代码结构清晰，易于审查