扫描报告
0 /100
quotedance-rss-digest
RSS 资讯流聚合技能,基于 quotedance-service Feeds API 聚合用户订阅源
RSS 资讯流聚合技能,功能声明与实际行为完全一致,仅使用 Node.js 内置模块,无任何恶意行为。
可以安装
无需任何限制,可安全使用。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | scripts/rss-digest.js:38-39 仅在 memory/ 目录下读写缓存 |
| 网络访问 | READ | READ | ✓ 一致 | scripts/rss-digest.js:63 仅向配置的服务端点发送请求 |
| 命令执行 | NONE | NONE | — | 无任何 shell 执行代码 |
| 环境变量 | READ | READ | ✓ 一致 | scripts/rss-digest.js:21 仅读取 QUTEDANCE_API_KEY |
3 项发现
中危 外部 URL 外部 URL
https://quotedance.api.gapgap.cc SKILL.md:17 中危 外部 URL 外部 URL
https://36kr.com/feed memory/rss-source-cache.json:10 中危 外部 URL 外部 URL
https://xueqiu.com/hots/topic/rss memory/rss-source-cache.json:18 目录结构
4 文件 · 22.8 KB · 797 行 JavaScript 1f · 577L
Markdown 1f · 149L
JSON 2f · 71L
├─
▾
memory
│ └─
rss-source-cache.json
JSON
├─
▾
scripts
│ └─
rss-digest.js
JavaScript
├─
config.json
⚠
JSON
└─
SKILL.md
Markdown
安全亮点
✓ 功能声明与实际代码行为完全一致
✓ 仅使用 Node.js 内置模块(fs, path),无第三方依赖风险
✓ 有完整的超时控制(20秒)
✓ 有错误处理和日志记录
✓ 无凭证外泄,仅将 API Key 发送到声明的 quotedance-service
✓ 无远程代码执行风险
✓ 不访问任何敏感路径(~/.ssh, ~/.aws, .env等)
✓ 无影子功能(shadow function)