ai-content-generator-pro 安全扫描报告 — 可信 | ClawSafe

5 /100

ai-content-generator-pro

Premium AI content generation skill with multi-model support

这是一个合法的 AI 内容生成工具，代码功能与文档声明一致，未发现恶意行为或影子功能。

技能名称ai-content-generator-pro

分析耗时34.4s

引擎pi

✓

可以安装

可以安全使用。建议将 package.json 中的 "exec" 权限改为更精确的描述以避免误解。

安全发现 3 项

严重性	安全发现	位置
低危	权限声明过于宽泛 package.json 声明了 exec, web_search, web_fetch 权限，但代码实现中未使用这些功能。这可能造成权限声明与实际能力不匹配。 `"permissions": ["read", "write", "exec", "web_search", "web_fetch"]` → 将权限声明改为仅实际使用的权限: read, write	`package.json:32`
提示	模拟 API 响应代码中的 callAI 函数仅返回模拟响应，不调用实际 AI API。这是原型开发的正常做法。 `// In a real implementation, this would call actual APIs` → 生产版本需要实现真实的 API 调用逻辑	`index.js:130`
提示	无敏感路径访问代码未访问 ~/.ssh、~/.aws、.env 等敏感路径，未发现凭证收割行为。 `N/A` → 保持此安全实践	`N/A`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ,WRITE`	`READ,WRITE`	✓ 一致	index.js:35-39 读写 content 目录
命令执行	`exec`	`NONE`	✓ 一致	package.json:32 声明 exec 但代码未使用 subprocess
网络访问	`web_fetch`	`NONE`	✓ 一致	代码仅使用模拟响应，无实际网络调用
环境变量	`NONE`	`NONE`	—	代码未访问 process.env 中的敏感信息

13 项发现

🔗

中危外部 URL 外部 URL

https://opencollective.com/babel

package-lock.json:95

🔗

中危外部 URL 外部 URL

https://opencollective.com/eslint

package-lock.json:551

🔗

中危外部 URL 外部 URL

https://www.patreon.com/feross

package-lock.json:1882

🔗

中危外部 URL 外部 URL

https://feross.org/support

package-lock.json:1886

🔗

中危外部 URL 外部 URL

https://opencollective.com/browserslist

package-lock.json:1962

🔗

中危外部 URL 外部 URL

https://tidelift.com/funding/github/npm/browserslist

package-lock.json:1966

🔗

中危外部 URL 外部 URL

https://tidelift.com/funding/github/npm/caniuse-lite

package-lock.json:2124

🔗

中危外部 URL 外部 URL

https://eslint.org/version-support

package-lock.json:2814

🔗

中危外部 URL 外部 URL

https://paypal.me/jimmywarting

package-lock.json:5557

🔗

中危外部 URL 外部 URL

https://opencollective.com/fast-check

package-lock.json:6172

📧

提示邮箱邮箱地址

[email protected]

CLAWHUB_LISTING.md:234

📧

提示邮箱邮箱地址

[email protected]

CLAWHUB_LISTING.md:239

📧

提示邮箱邮箱地址

[email protected]

package-lock.json:3392

目录结构

20 文件 · 317.2 KB · 9303 行

JSON 7f · 7421L Markdown 9f · 1204L JavaScript 2f · 471L Shell 2f · 207L

├─ ▾ 📁 config

│ ├─ 🔑 config.json ⚠ JSON 24L · 362 B

│ ├─ 📋 models.json JSON 27L · 690 B

│ ├─ 📋 prompts.json JSON 24L · 3.6 KB

│ └─ 📋 templates.json JSON 45L · 1.3 KB

├─ ▾ 📁 content

│ ├─ ▾ 📁 samples

│ │ └─ 📝 sample-blog.md Markdown 22L · 564 B

│ ├─ 📝 blog-1773489827764.md Markdown 12L · 378 B

│ └─ 📝 calendar-weekly-1773489827765.md Markdown 12L · 320 B

├─ ▾ 📁 references

│ ├─ 📝 api-docs.md Markdown 370L · 7.8 KB

│ └─ 📝 market-research.md Markdown 127L · 4.0 KB

├─ ▾ 📁 scripts

│ ├─ 🔧 setup.sh Shell 95L · 2.2 KB

│ └─ 🔧 test.sh Shell 112L · 2.7 KB

├─ 📋 _meta.json JSON 5L · 143 B

├─ 📝 CLAWHUB_LISTING.md Markdown 246L · 8.1 KB

├─ 📝 IMPLEMENTATION_SUMMARY.md Markdown 209L · 7.4 KB

├─ 📜 index.js JavaScript 366L · 13.3 KB

├─ 📋 package-lock.json JSON 7235L · 253.4 KB

├─ 📋 package.json JSON 61L · 1.3 KB

├─ 📝 README.md Markdown 29L · 646 B

├─ 📝 SKILL.md Markdown 177L · 6.4 KB

└─ 📜 test.js JavaScript 105L · 2.8 KB

依赖分析 4 项

包名	版本	来源	已知漏洞	备注
`openai`	`^4.0.0`	npm	否	标准 API 客户端
`@anthropic-ai/sdk`	`^0.24.0`	npm	否	标准 API 客户端
`cheerio`	`^1.0.0`	npm	否	HTML 解析，用于 SEO 功能
`sqlite3`	`^5.1.6`	npm	否	本地内容存储

安全亮点

✓ 代码结构清晰，功能与文档声明一致

✓ 未发现凭证收割或数据外泄行为

✓ 未发现隐藏的 shell 执行或 base64 编码指令

✓ 配置文件正确处理 API 密钥（为空，需用户自行填入）

✓ 未发现 HTML 注释中的隐藏指令

✓ 未访问敏感系统路径