Name: pinterest-search Security Report — Low Risk | ClawSafe
Item: pinterest-search
Rating: 82
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

18 /100

pinterest-search

Search Pinterest for images and pins using keyword queries

合法 Pinterest 图像搜索工具，存在一处 supply_chain 瑕疵（ sharp 无版本锁定）和一处 remote script 示范（文档声明安装 Bun），整体功能与文档一致，无恶意行为。

Skill Namepinterest-search

Duration42.8s

Enginepi

ClawHub Pinterest Search v0.1.3 by mikehankk

📥 24

ClawHub Verdict Suspicious env_credential_accesspotential_exfiltration

✓

Safe to install

建议为 sharp 依赖添加精确版本锁定（如 [email protected]），其余风险可忽略。

Findings 2 items

Severity	Finding	Location
Low	sharp 依赖缺少精确版本锁定 Supply Chain @t2p/image-cache/package.json 中 sharp 依赖为 ^0.33.0，^ 前缀允许主版本内更新，存在依赖更新劫持风险。攻击者若发布恶意 0.33.x 版本可能影响使用该 skill 的系统。 `"sharp": "^0.33.0"` → 将版本锁定为精确版本："sharp": "0.33.0"	`scripts/vendors/image-cache/package.json:4`
Info	文档包含 curl\|bash 远程脚本执行示范 Doc Mismatch SKILL.md 第58行包含 curl -fsSL https://bun.sh/install \| bash 命令。虽然这是文档示范而非代码隐式行为，但该模式属于高危命令模式。 `curl -fsSL https://bun.sh/install \| bash` → 建议改为下载安装脚本到本地后执行，或提供各平台包管理器安装方式（apt/brew）	`SKILL.md:58`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`WRITE`	✓ Aligned	SKILL.md 声明写入 results/、resultscache/、图片缓存目录
Network	`NONE`	`READ`	✓ Aligned	SKILL.md 声明访问 Pinterest API、下载图片
Shell	`NONE`	`NONE`	—	所有脚本由用户本地执行 bun run，SKILL.md 仅文档说明命令格式
Environment	`READ`	`READ`	✓ Aligned	SKILL.md env 段声明读取 PINTEREST_COOKIE、T2P_PROXY、T2P_IMAGE_DIR

1 Critical 1 High 14 findings

💀

Critical Dangerous Command 危险 Shell 命令

curl -fsSL https://bun.sh/install | bash

SKILL.md:58

📡

High IP Address 硬编码 IP 地址

120.0.0.0

scripts/vendors/image-cache/src/index.ts:114

🔗

Medium External URL 外部 URL

http://127.0.0.1:7890

SKILL.md:6

🔗

Medium External URL 外部 URL

https://i.pinimg.com/736x/ab/cd/ef/abcdef.jpg

SKILL.md:38

🔗

Medium External URL 外部 URL

https://www.pinterest.com/pin/123456789/

SKILL.md:41

🔗

Medium External URL 外部 URL

https://bun.sh/install

SKILL.md:58

🔗

Medium External URL 外部 URL

https://www.pinterest.com/pin/

scripts/pinterest_search.ts:45

🔗

Medium External URL 外部 URL

https://www.pinterest.com/resource/BaseSearchResource/get/?data=$

scripts/pinterest_search.ts:187

🔗

Medium External URL 外部 URL

https://www.google.com/

scripts/vendors/image-cache/src/index.ts:100

🔗

Medium External URL 外部 URL

https://www.pinterest.com/

scripts/vendors/image-cache/src/index.ts:102

🔗

Medium External URL 外部 URL

https://www.facebook.com/

scripts/vendors/image-cache/src/index.ts:104

🔗

Medium External URL 外部 URL

https://www.instagram.com/

scripts/vendors/image-cache/src/index.ts:106

🔗

Medium External URL 外部 URL

https://www.amazon.com/

scripts/vendors/image-cache/src/index.ts:108

🔗

Medium External URL 外部 URL

https://www.temu.com/

scripts/vendors/image-cache/src/index.ts:110

File Tree

8 files · 34.0 KB · 1154 lines

TypeScript 3f · 824L Markdown 1f · 160L Ignore 2f · 153L JSON 2f · 17L

├─ ▾ 📁 scripts

│ ├─ ▾ 📁 vendors

│ │ └─ ▾ 📁 image-cache

│ │ ├─ ▾ 📁 src

│ │ │ └─ 📜 index.ts TypeScript 213L · 5.8 KB

│ │ ├─ 📄 .gitignore Ignore 76L · 795 B

│ │ └─ 📋 package.json JSON 7L · 135 B

│ ├─ 📜 configure.ts TypeScript 178L · 4.9 KB

│ ├─ 📋 package.json JSON 10L · 223 B

│ └─ 📜 pinterest_search.ts TypeScript 433L · 14.9 KB

├─ 📄 .gitignore Ignore 77L · 818 B

└─ 📝 SKILL.md Markdown 160L · 6.4 KB

Dependencies 3 items

Package	Version	Source	Known Vulns	Notes
`sharp`	`^0.33.0`	npm	No	依赖无精确版本锁定，存在供应链劫持风险
`socks-proxy-agent`	`^10.0.0`	npm	No	无版本锁定
`undici`	`^6.0.0`	npm	No	无版本锁定

Security Positives

✓ 代码结构清晰，TypeScript 类型完整，无混淆

✓ 无凭证收割、API密钥窃取或环境变量遍历行为

✓ 无 base64/eval/atob 等代码混淆模式

✓ 无外部 IP 通信（所有外联均为 Pinterest/图片 CDN 域名）

✓ 文档与代码行为高度一致，无阴影功能

✓ 无敏感路径访问（~/.ssh、~/.aws、.env 等）

✓ 代码有缓存隔离、URL 清理、超时控制等安全工程实践

Scan Report

Findings 2 items

File Tree

Dependencies 3 items

Security Positives