中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:5 小时前 重新扫描
5 /100
xhs-skill-pusher
小红书内容发布技能 - 规范化cookie管理 + xhs-kit自动化发布
小红书内容发布技能,标准化Cookie管理和xhs-kit自动化发布,代码功能与文档一致,无恶意行为
技能名称xhs-skill-pusher
分析耗时34.0s
引擎pi
ClawHub xhs-skill-pusher v1.0.0 by glittering
📥 172
ClawHub 判定 可疑 dangerous_exec
可以安装
可安全使用。注意:pip安装时建议指定版本以避免供应链风险

安全发现 1 项

严重性 安全发现 位置
低危
Python依赖未指定版本锁定 供应链
SKILL.md安装指南中使用pip install xhs-kit等命令,未指定具体版本,存在供应链风险
pip install xhs-kit
pip install pillow requests markdown pyyaml
→ 建议指定版本范围,如 pip install xhs-kit>=0.1.0,<1.0.0
 SKILL.md:42
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 scripts/xhs_save_cookie.sh:150 - echo "$cookie_json" > "$filepath"
命令执行 WRITE WRITE ✓ 一致 scripts/xhs_final.sh:18 - source xhs-env/bin/activate; exec ./xhs_simple.sh
网络访问 READ READ ✓ 一致 bin/xhs-pusher.mjs:44 - execSync('which xhs-kit')
1 项发现
📧
提示 邮箱 邮箱地址
[email protected]
PUSH_GUIDE.md:47

目录结构

12 文件 · 73.4 KB · 2815 行
Shell 5f · 1308L Markdown 5f · 1097L JavaScript 1f · 373L JSON 1f · 37L
├─ 📁 bin
│ └─ 📜 xhs-pusher.mjs JavaScript 373L · 10.2 KB
├─ 📁 docs
│ ├─ 📝 QUICK_START.md Markdown 165L · 3.7 KB
│ └─ 📝 XHS_FINAL_SOLUTION.md Markdown 237L · 6.4 KB
├─ 📁 scripts
│ ├─ 🔧 xhs_final.sh Shell 19L · 515 B
│ ├─ 🔧 xhs_manage.sh Shell 474L · 14.2 KB
│ ├─ 🔧 xhs_save_cookie.sh Shell 310L · 7.4 KB
│ └─ 🔧 xhs_simple.sh Shell 453L · 11.3 KB
├─ 📋 package.json JSON 37L · 842 B
├─ 📝 PUSH_GUIDE.md Markdown 188L · 4.5 KB
├─ 🔧 push_to_github.sh Shell 52L · 1.4 KB
├─ 📝 README.md Markdown 168L · 4.5 KB
└─ 📝 SKILL.md Markdown 339L · 8.4 KB

依赖分析 4 项

包名版本来源已知漏洞备注
xhs-kit * pip 无版本锁定
playwright * pip 无版本锁定
commander ^11.1.0 npm 知名CLI库
chalk ^5.3.0 npm 知名终端样式库

安全亮点

✓ 代码结构清晰,所有Shell操作均在脚本内部完成
✓ 功能与文档描述一致,无阴影功能
✓ Cookie仅存储在本地xhs_cookies目录,无外传行为
✓ 使用标准化xhs-kit库,无自定义恶意代码
✓ Node.js依赖来自npm官方仓库(commander, chalk等知名库)