中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 5/100
Last scan:3 hr ago Rescan
5 /100
tracked-video-analysis
分析本地或链接的视频文件,转换为结构化摘要
视频分析技能功能正常,无恶意行为,仅存在轻微文档缺失(网络下载模型未声明)。
Skill Nametracked-video-analysis
Duration43.1s
Enginepi
ClawHub Tracked Video Analysis v1.0.0 by mrgoodgreen
📥 258 📦 2
ClawHub Verdict Suspicious dangerous_exec
Safe to install
建议在 SKILL.md 中补充网络访问说明(下载 HuggingFace 模型),无需其他操作。

Findings 1 items

Severity Finding Location
Low
网络依赖未在文档中声明 Doc Mismatch
transcribe_tracked_light.mjs 使用 @xenova/transformers 从 HuggingFace 下载预训练模型,但 SKILL.md 未明确说明需要网络访问来获取模型权重。
const MODEL = 'Xenova/whisper-tiny';
→ 在 SKILL.md 的 'Prepare local tools' 部分补充说明模型需要网络下载,属于正常功能需求。
 scripts/transcribe_tracked_light.mjs:26
ResourceDeclaredInferredStatusEvidence
Filesystem READ/WRITE READ/WRITE ✓ Aligned SKILL.md:19 声明使用 tmp/video_analysis/ 作为工作目录,scripts 中均读写此路径
Network NONE READ ✓ Aligned scripts/transcribe_tracked_light.mjs:26 从 HuggingFace 下载量化模型 'Xenova/whisper-tin…
Shell NONE WRITE ✓ Aligned scripts/transcribe_tracked_light.mjs:41,44 使用 execFileSync 调用本地 ffmpeg/ffprobe 工…
Environment NONE NONE 代码未访问 os.environ 或 process.env 中的敏感变量
credential NONE NONE 无 SSH/AWS/.env 路径访问,无 API 密钥收割

File Tree

4 files · 15.7 KB · 463 lines
Markdown 2f · 274L Python 1f · 120L JavaScript 1f · 69L
├─ 📁 references
│ └─ 📝 pipeline.md Markdown 145L · 3.0 KB
├─ 📁 scripts
│ ├─ 🐍 final_structurer.py Python 120L · 5.3 KB
│ └─ 📜 transcribe_tracked_light.mjs JavaScript 69L · 3.5 KB
└─ 📝 SKILL.md Markdown 129L · 4.0 KB

Dependencies 4 items

PackageVersionSourceKnown VulnsNotes
@xenova/transformers latest npm No 从 HuggingFace 下载开源 whisper 模型,无恶意行为
ffmpeg-static latest npm No 静态编译的 ffmpeg 二进制文件
wavefile latest npm No 纯 JS 音频处理库
ffprobe-static latest npm No 静态编译的 ffprobe 二进制文件

Security Positives

✓ 无凭证收割或敏感路径访问行为
✓ shell 执行仅限于本地 CLI 工具(ffmpeg/ffprobe),无远程命令注入风险
✓ 无 base64 编码、eval() 或其他混淆技术
✓ 无数据外泄或可疑网络请求
✓ 代码逻辑清晰,专注视频转录和摘要生成
✓ 进度跟踪机制设计合理,状态文件命名规范