Name: tracked-video-analysis 安全扫描报告 — 可信 | ClawSafe
Item: tracked-video-analysis
Rating: 95
Author: ClawSafe

5 /100

tracked-video-analysis

分析本地或链接的视频文件，转换为结构化摘要

视频分析技能功能正常，无恶意行为，仅存在轻微文档缺失（网络下载模型未声明）。

技能名称tracked-video-analysis

分析耗时43.1s

引擎pi

ClawHub Tracked Video Analysis v1.0.0 by mrgoodgreen

📥 258 📦 2

ClawHub 判定可疑 dangerous_exec

✓

可以安装

建议在 SKILL.md 中补充网络访问说明（下载 HuggingFace 模型），无需其他操作。

安全发现 1 项

严重性	安全发现	位置
低危	网络依赖未在文档中声明文档欺骗 transcribe_tracked_light.mjs 使用 @xenova/transformers 从 HuggingFace 下载预训练模型，但 SKILL.md 未明确说明需要网络访问来获取模型权重。 `const MODEL = 'Xenova/whisper-tiny';` → 在 SKILL.md 的 'Prepare local tools' 部分补充说明模型需要网络下载，属于正常功能需求。	`scripts/transcribe_tracked_light.mjs:26`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ/WRITE`	`READ/WRITE`	✓ 一致	SKILL.md:19 声明使用 tmp/video_analysis/ 作为工作目录，scripts 中均读写此路径
网络访问	`NONE`	`READ`	✓ 一致	scripts/transcribe_tracked_light.mjs:26 从 HuggingFace 下载量化模型 'Xenova/whisper-tin…
命令执行	`NONE`	`WRITE`	✓ 一致	scripts/transcribe_tracked_light.mjs:41,44 使用 execFileSync 调用本地 ffmpeg/ffprobe 工…
环境变量	`NONE`	`NONE`	—	代码未访问 os.environ 或 process.env 中的敏感变量
凭证	`NONE`	`NONE`	—	无 SSH/AWS/.env 路径访问，无 API 密钥收割

目录结构

4 文件 · 15.7 KB · 463 行

Markdown 2f · 274L Python 1f · 120L JavaScript 1f · 69L

├─ ▾ 📁 references

│ └─ 📝 pipeline.md Markdown 145L · 3.0 KB

├─ ▾ 📁 scripts

│ ├─ 🐍 final_structurer.py Python 120L · 5.3 KB

│ └─ 📜 transcribe_tracked_light.mjs JavaScript 69L · 3.5 KB

└─ 📝 SKILL.md Markdown 129L · 4.0 KB

包名	版本	来源	已知漏洞	备注
`@xenova/transformers`	`latest`	npm	否	从 HuggingFace 下载开源 whisper 模型，无恶意行为
`ffmpeg-static`	`latest`	npm	否	静态编译的 ffmpeg 二进制文件
`wavefile`	`latest`	npm	否	纯 JS 音频处理库
`ffprobe-static`	`latest`	npm	否	静态编译的 ffprobe 二进制文件

✓ 无凭证收割或敏感路径访问行为

✓ shell 执行仅限于本地 CLI 工具（ffmpeg/ffprobe），无远程命令注入风险

✓ 无 base64 编码、eval() 或其他混淆技术

✓ 无数据外泄或可疑网络请求

✓ 代码逻辑清晰，专注视频转录和摘要生成

✓ 进度跟踪机制设计合理，状态文件命名规范