扫描报告
5 /100
news-to-markdown-skill
新闻文章转Markdown工具,支持13个平台
这是一个功能明确的新闻转Markdown工具,代码简单透明,无敏感操作,供应链风险已在文档中声明并提供审计入口。
可以安装
可安全使用。建议通过 npm 固定版本或审计源码确认第三方包可信性。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | config.json - permissions.filesystem 声明写入 *.md 和 ./images/ |
| 网络访问 | READ | READ | ✓ 一致 | config.json - permissions.network 仅限新闻平台域名 |
| 命令执行 | WRITE | WRITE | ✓ 一致 | SKILL.md - 声明使用npx执行第三方CLI工具 |
7 项发现
中危 外部 URL 外部 URL
https://www.toutiao.com/article/123 SKILL.md:113 中危 外部 URL 外部 URL
https://news.sina.com.cn/... SKILL.md:529 中危 外部 URL 外部 URL
https://36kr.com/p/... SKILL.md:530 中危 外部 URL 外部 URL
https://mp.weixin.qq.com/s/... SKILL.md:531 中危 外部 URL 外部 URL
https://36kr.com/p/123 scripts/postinstall.js:39 中危 外部 URL 外部 URL
https://mp.weixin.qq.com/s/xxx scripts/run.js:65 提示 邮箱 邮箱地址
[email protected] SKILL.md:5 目录结构
5 文件 · 25.0 KB · 956 行 Markdown 2f · 736L
JavaScript 2f · 142L
JSON 1f · 78L
├─
▾
scripts
│ ├─
postinstall.js
JavaScript
│ └─
run.js
JavaScript
├─
config.json
⚠
JSON
├─
README.md
Markdown
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
news-to-markdown | ^3.1.2 | npm | 否 | 通过npx动态拉取,版本范围宽泛,但提供了审计入口 |
安全亮点
✓ 代码极其简单,仅通过spawnSync调用npx,无复杂逻辑
✓ 文档详细声明了供应链风险和审计方式
✓ 配置文件清晰定义了权限范围
✓ 无敏感文件访问、无凭证读取、无数据外传
✓ 无base64编码、无eval调用、无混淆代码
✓ 核心业务逻辑完全依赖外部开源库(news-to-markdown),代码可审计
✓ 提供GitHub源码审计入口