中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:2 days ago Rescan
5 /100
ai-content-generator-pro
Premium AI content generation skill with multi-model support
这是一个合法的 AI 内容生成工具,代码功能与文档声明一致,未发现恶意行为或影子功能。
Skill Nameai-content-generator-pro
Duration34.4s
Enginepi
Safe to install
可以安全使用。建议将 package.json 中的 "exec" 权限改为更精确的描述以避免误解。

Findings 3 items

Severity Finding Location
Low
权限声明过于宽泛
package.json 声明了 exec, web_search, web_fetch 权限,但代码实现中未使用这些功能。这可能造成权限声明与实际能力不匹配。
"permissions": ["read", "write", "exec", "web_search", "web_fetch"]
→ 将权限声明改为仅实际使用的权限: read, write
 package.json:32
Info
模拟 API 响应
代码中的 callAI 函数仅返回模拟响应,不调用实际 AI API。这是原型开发的正常做法。
// In a real implementation, this would call actual APIs
→ 生产版本需要实现真实的 API 调用逻辑
 index.js:130
Info
无敏感路径访问
代码未访问 ~/.ssh、~/.aws、.env 等敏感路径,未发现凭证收割行为。
N/A
→ 保持此安全实践
 N/A
ResourceDeclaredInferredStatusEvidence
Filesystem READ,WRITE READ,WRITE ✓ Aligned index.js:35-39 读写 content 目录
Shell exec NONE ✓ Aligned package.json:32 声明 exec 但代码未使用 subprocess
Network web_fetch NONE ✓ Aligned 代码仅使用模拟响应,无实际网络调用
Environment NONE NONE 代码未访问 process.env 中的敏感信息
13 findings
🔗
Medium External URL 外部 URL
https://opencollective.com/babel
package-lock.json:95
🔗
Medium External URL 外部 URL
https://opencollective.com/eslint
package-lock.json:551
🔗
Medium External URL 外部 URL
https://www.patreon.com/feross
package-lock.json:1882
🔗
Medium External URL 外部 URL
https://feross.org/support
package-lock.json:1886
🔗
Medium External URL 外部 URL
https://opencollective.com/browserslist
package-lock.json:1962
🔗
Medium External URL 外部 URL
https://tidelift.com/funding/github/npm/browserslist
package-lock.json:1966
🔗
Medium External URL 外部 URL
https://tidelift.com/funding/github/npm/caniuse-lite
package-lock.json:2124
🔗
Medium External URL 外部 URL
https://eslint.org/version-support
package-lock.json:2814
🔗
Medium External URL 外部 URL
https://paypal.me/jimmywarting
package-lock.json:5557
🔗
Medium External URL 外部 URL
https://opencollective.com/fast-check
package-lock.json:6172
📧
Info Email 邮箱地址
[email protected]
CLAWHUB_LISTING.md:234
📧
Info Email 邮箱地址
[email protected]
CLAWHUB_LISTING.md:239
📧
Info Email 邮箱地址
[email protected]
package-lock.json:3392

File Tree

20 files · 317.2 KB · 9303 lines
JSON 7f · 7421L Markdown 9f · 1204L JavaScript 2f · 471L Shell 2f · 207L
├─ 📁 config
│ ├─ 🔑 config.json JSON 24L · 362 B
│ ├─ 📋 models.json JSON 27L · 690 B
│ ├─ 📋 prompts.json JSON 24L · 3.6 KB
│ └─ 📋 templates.json JSON 45L · 1.3 KB
├─ 📁 content
│ ├─ 📁 samples
│ │ └─ 📝 sample-blog.md Markdown 22L · 564 B
│ ├─ 📝 blog-1773489827764.md Markdown 12L · 378 B
│ └─ 📝 calendar-weekly-1773489827765.md Markdown 12L · 320 B
├─ 📁 references
│ ├─ 📝 api-docs.md Markdown 370L · 7.8 KB
│ └─ 📝 market-research.md Markdown 127L · 4.0 KB
├─ 📁 scripts
│ ├─ 🔧 setup.sh Shell 95L · 2.2 KB
│ └─ 🔧 test.sh Shell 112L · 2.7 KB
├─ 📋 _meta.json JSON 5L · 143 B
├─ 📝 CLAWHUB_LISTING.md Markdown 246L · 8.1 KB
├─ 📝 IMPLEMENTATION_SUMMARY.md Markdown 209L · 7.4 KB
├─ 📜 index.js JavaScript 366L · 13.3 KB
├─ 📋 package-lock.json JSON 7235L · 253.4 KB
├─ 📋 package.json JSON 61L · 1.3 KB
├─ 📝 README.md Markdown 29L · 646 B
├─ 📝 SKILL.md Markdown 177L · 6.4 KB
└─ 📜 test.js JavaScript 105L · 2.8 KB

Dependencies 4 items

PackageVersionSourceKnown VulnsNotes
openai ^4.0.0 npm No 标准 API 客户端
@anthropic-ai/sdk ^0.24.0 npm No 标准 API 客户端
cheerio ^1.0.0 npm No HTML 解析,用于 SEO 功能
sqlite3 ^5.1.6 npm No 本地内容存储

Security Positives

✓ 代码结构清晰,功能与文档声明一致
✓ 未发现凭证收割或数据外泄行为
✓ 未发现隐藏的 shell 执行或 base64 编码指令
✓ 配置文件正确处理 API 密钥(为空,需用户自行填入)
✓ 未发现 HTML 注释中的隐藏指令
✓ 未访问敏感系统路径