Name: pinterest-search 安全扫描报告 — 低风险 | ClawSafe
Item: pinterest-search
Rating: 82
Author: ClawSafe

18 /100

pinterest-search

Search Pinterest for images and pins using keyword queries

合法 Pinterest 图像搜索工具，存在一处 supply_chain 瑕疵（ sharp 无版本锁定）和一处 remote script 示范（文档声明安装 Bun），整体功能与文档一致，无恶意行为。

技能名称pinterest-search

分析耗时42.8s

引擎pi

ClawHub Pinterest Search v0.1.3 by mikehankk

📥 24

ClawHub 判定可疑 env_credential_accesspotential_exfiltration

✓

可以安装

建议为 sharp 依赖添加精确版本锁定（如 [email protected]），其余风险可忽略。

安全发现 2 项

严重性	安全发现	位置
低危	sharp 依赖缺少精确版本锁定供应链 @t2p/image-cache/package.json 中 sharp 依赖为 ^0.33.0，^ 前缀允许主版本内更新，存在依赖更新劫持风险。攻击者若发布恶意 0.33.x 版本可能影响使用该 skill 的系统。 `"sharp": "^0.33.0"` → 将版本锁定为精确版本："sharp": "0.33.0"	`scripts/vendors/image-cache/package.json:4`
提示	文档包含 curl\|bash 远程脚本执行示范文档欺骗 SKILL.md 第58行包含 curl -fsSL https://bun.sh/install \| bash 命令。虽然这是文档示范而非代码隐式行为，但该模式属于高危命令模式。 `curl -fsSL https://bun.sh/install \| bash` → 建议改为下载安装脚本到本地后执行，或提供各平台包管理器安装方式（apt/brew）	`SKILL.md:58`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`WRITE`	✓ 一致	SKILL.md 声明写入 results/、resultscache/、图片缓存目录
网络访问	`NONE`	`READ`	✓ 一致	SKILL.md 声明访问 Pinterest API、下载图片
命令执行	`NONE`	`NONE`	—	所有脚本由用户本地执行 bun run，SKILL.md 仅文档说明命令格式
环境变量	`READ`	`READ`	✓ 一致	SKILL.md env 段声明读取 PINTEREST_COOKIE、T2P_PROXY、T2P_IMAGE_DIR

1 严重 1 高危 14 项发现

💀

严重危险命令危险 Shell 命令

curl -fsSL https://bun.sh/install | bash

SKILL.md:58

📡

高危 IP 地址硬编码 IP 地址

120.0.0.0

scripts/vendors/image-cache/src/index.ts:114

🔗

中危外部 URL 外部 URL

http://127.0.0.1:7890

SKILL.md:6

🔗

中危外部 URL 外部 URL

https://i.pinimg.com/736x/ab/cd/ef/abcdef.jpg

SKILL.md:38

🔗

中危外部 URL 外部 URL

https://www.pinterest.com/pin/123456789/

SKILL.md:41

🔗

中危外部 URL 外部 URL

https://bun.sh/install

SKILL.md:58

🔗

中危外部 URL 外部 URL

https://www.pinterest.com/pin/

scripts/pinterest_search.ts:45

🔗

中危外部 URL 外部 URL

https://www.pinterest.com/resource/BaseSearchResource/get/?data=$

scripts/pinterest_search.ts:187

🔗

中危外部 URL 外部 URL

https://www.google.com/

scripts/vendors/image-cache/src/index.ts:100

🔗

中危外部 URL 外部 URL

https://www.pinterest.com/

scripts/vendors/image-cache/src/index.ts:102

🔗

中危外部 URL 外部 URL

https://www.facebook.com/

scripts/vendors/image-cache/src/index.ts:104

🔗

中危外部 URL 外部 URL

https://www.instagram.com/

scripts/vendors/image-cache/src/index.ts:106

🔗

中危外部 URL 外部 URL

https://www.amazon.com/

scripts/vendors/image-cache/src/index.ts:108

🔗

中危外部 URL 外部 URL

https://www.temu.com/

scripts/vendors/image-cache/src/index.ts:110

目录结构

8 文件 · 34.0 KB · 1154 行

TypeScript 3f · 824L Markdown 1f · 160L Ignore 2f · 153L JSON 2f · 17L

├─ ▾ 📁 scripts

│ ├─ ▾ 📁 vendors

│ │ └─ ▾ 📁 image-cache

│ │ ├─ ▾ 📁 src

│ │ │ └─ 📜 index.ts TypeScript 213L · 5.8 KB

│ │ ├─ 📄 .gitignore Ignore 76L · 795 B

│ │ └─ 📋 package.json JSON 7L · 135 B

│ ├─ 📜 configure.ts TypeScript 178L · 4.9 KB

│ ├─ 📋 package.json JSON 10L · 223 B

│ └─ 📜 pinterest_search.ts TypeScript 433L · 14.9 KB

├─ 📄 .gitignore Ignore 77L · 818 B

└─ 📝 SKILL.md Markdown 160L · 6.4 KB

依赖分析 3 项

包名	版本	来源	已知漏洞	备注
`sharp`	`^0.33.0`	npm	否	依赖无精确版本锁定，存在供应链劫持风险
`socks-proxy-agent`	`^10.0.0`	npm	否	无版本锁定
`undici`	`^6.0.0`	npm	否	无版本锁定

安全亮点

✓ 代码结构清晰，TypeScript 类型完整，无混淆

✓ 无凭证收割、API密钥窃取或环境变量遍历行为

✓ 无 base64/eval/atob 等代码混淆模式

✓ 无外部 IP 通信（所有外联均为 Pinterest/图片 CDN 域名）

✓ 文档与代码行为高度一致，无阴影功能

✓ 无敏感路径访问（~/.ssh、~/.aws、.env 等）

✓ 代码有缓存隔离、URL 清理、超时控制等安全工程实践