中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 15/100
上次扫描:3 小时前 重新扫描
15 /100
markdown-ai-rewriter
基于 markdown-ai-rewriter 的 Markdown AI 改写 Skill(保留结构、章节/全文模式、多模型)
合法 Markdown AI 改写工具,供应链风险已声明,代码行为与文档一致,无恶意发现
技能名称markdown-ai-rewriter
分析耗时26.9s
引擎pi
ClawHub Markdown Ai Rewriter Skill v1.1.3 by sipingme
📥 235 📦 1
ClawHub 判定 可疑 dangerous_execvt_suspicious
可以安装
使用前确保 npm 源可信,定期检查 markdown-ai-rewriter 包更新历史

安全发现 2 项

严重性 安全发现 位置
中危
供应链依赖 - npx 动态拉取 供应链
通过 npx --yes 动态拉取并执行 markdown-ai-rewriter npm 包,而非预装后调用
run('npx', ['--yes', `markdown-ai-rewriter@^${REQUIRED_VERSION}`, 'rewrite', ...args])
→ config.json 已声明风险,建议考虑预安装方式减少供应链攻击面
 scripts/run.js:17
低危
访问配置目录 敏感访问
技能写入 ~/.markdown-ai-rewriter/ 目录存储配置
write: ["~/.markdown-ai-rewriter/"]
→ 写入范围限制在配置目录,风险可控
 config.json:41
资源类型声明权限推断权限状态证据
文件系统 READ+WRITE READ+WRITE ✓ 一致 config.json:permissions.filesystem - 读取 *.md 文件,写入 ~/.markdown-ai-rewriter/
网络访问 READ READ ✓ 一致 config.json:permissions.network - 仅限 AI 服务商域名
命令执行 NONE WRITE ✓ 一致 scripts/run.js:17 - spawnSync 执行 npx,声明为包装器行为
5 项发现
🔗
中危 外部 URL 外部 URL
https://www.npmjs.com/package/markdown-ai-rewriter
README.md:3
🔗
中危 外部 URL 外部 URL
https://api.minimaxi.com/v1
README.md:71
🔗
中危 外部 URL 外部 URL
https://your-resource.openai.azure.com
README.md:117
📧
提示 邮箱 邮箱地址
[email protected]
README.md:20
📧
提示 邮箱 邮箱地址
[email protected]
README.md:153

目录结构

5 文件 · 24.7 KB · 720 行
Markdown 2f · 521L JavaScript 2f · 100L JSON 1f · 99L
├─ 📁 scripts
│ ├─ 📜 postinstall.js JavaScript 61L · 2.0 KB
│ └─ 📜 run.js JavaScript 39L · 1.2 KB
├─ 🔑 config.json JSON 99L · 2.5 KB
├─ 📝 README.md Markdown 153L · 5.9 KB
└─ 📝 SKILL.md Markdown 368L · 13.1 KB

依赖分析 1 项

包名版本来源已知漏洞备注
markdown-ai-rewriter ^1.1.3 npm (npx dynamic pull) 通过 npx 动态拉取,非本地预装;config.json 已声明供应链风险

安全亮点

✓ 供应链风险已在 config.json 中明确声明(riskLevel: moderate)
✓ 代码逻辑简单清晰,仅为 npx 包装器,无复杂逻辑
✓ 权限声明完整,与实际功能匹配
✓ 网络访问限制为 AI 服务商域名白名单
✓ 支持 11+ 个模型提供商,透明度高
✓ GitHub 仓库可审计,MIT 许可证