xhs-crawler Security Report — Low Risk | ClawSafe

20 /100

xhs-crawler

小红书关键词爬取工具，支持浏览器模拟搜索和飞书推送

小红书爬虫技能功能正常，无恶意行为发现。存在权限声明不完整和硬编码凭证的轻微瑕疵，但不影响安全性。

Skill Namexhs-crawler

Duration60.0s

Enginepi

✓

Safe to install

建议补充 allowed-tools 声明（shell:WRITE, filesystem:WRITE, network:WRITE），将飞书凭证移至环境变量。

Findings 3 items

Severity	Finding	Location
Low	权限声明缺失 Priv Escalation SKILL.md未声明实际使用的权限（shell执行、文件系统写入、网络调用） `文档仅描述功能，未声明allowed-tools` → 在SKILL.md中添加allowed-tools声明	`SKILL.md:1`
Low	凭证硬编码 Sensitive Access 飞书应用凭证硬编码在config.py中 `FEISHU_APP_ID = "cli_a924d921ce7a9cbd" FEISHU_APP_SECRET = "5QG92Lp8kvhAkgpPJTd57fIxshnCebEt"` → 使用环境变量或配置文件管理凭证	`config.py:90`
Info	User-Agent占位符 Doc Mismatch config.py中User-Agent包含测试IP 143.0.0.0 `"user-agent": "... Chrome/143.0.0.0 Mobile Safari/537.36 Edg/143.0.0"` → 使用真实版本号替换占位符	`config.py:50`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`WRITE`	✓ Aligned	cookie.txt, xhs_chrome_profile写入
Network	`NONE`	`WRITE`	✓ Aligned	小红书API、飞书API调用
Shell	`NONE`	`WRITE`	✓ Aligned	index.js:140 exec()执行Python
Browser	`NONE`	`WRITE`	✓ Aligned	Playwright浏览器自动化

1 High 14 findings

📡

High IP Address 硬编码 IP 地址

143.0.0.0

config.py:50

🔗

Medium External URL 外部 URL

https://www.xiaohongshu.com/explore

auto_login_with_qrcode.py:96

🔗

Medium External URL 外部 URL

https://edith.xiaohongshu.com/api/sns/web/v1/search/notes

config.py:30

🔗

Medium External URL 外部 URL

https://edith.xiaohongshu.com/api/sns/web/v1/feed

config.py:31

🔗

Medium External URL 外部 URL

https://www.xiaohongshu.com

config.py:40

🔗

Medium External URL 外部 URL

https://www.xiaohongshu.com/

config.py:43

🔗

Medium External URL 外部 URL

https://www.xiaohongshu.com/user/profile

cookie_manager.py:82

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal

feishu_app_bot.py:67

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/messages

feishu_app_bot.py:109

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/images

feishu_app_bot.py:222

🔗

Medium External URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/chats

feishu_app_bot.py:368

🔗

Medium External URL 外部 URL

https://www.xiaohongshu.com/explore/

xhs_crawler.py:181

🔗

Medium External URL 外部 URL

https://www.xiaohongshu.com/search_result?keyword=

xhs_search_with_browser.py:86

🔗

Medium External URL 外部 URL

https://open.feishu.cn/

使用文档.md:67

File Tree

15 files · 94.0 KB · 3138 lines

Python 10f · 2525L Markdown 2f · 420L JavaScript 1f · 175L JSON 1f · 17L Text 1f · 1L

├─ 🐍 __init__.py Python 26L · 590 B

├─ 🐍 auto_login_with_qrcode.py Python 319L · 10.2 KB

├─ 🐍 config.py Python 98L · 2.9 KB

├─ 🐍 cookie_manager.py Python 327L · 10.1 KB

├─ 📄 cookie.txt Text 1L · 880 B

├─ 🐍 example_openclaw_skill.py Python 218L · 6.3 KB

├─ 🐍 feishu_app_bot.py Python 444L · 13.2 KB

├─ 🐍 feishu_bot.py Python 300L · 8.1 KB

├─ 📜 index.js JavaScript 175L · 5.6 KB

├─ 🐍 login.py Python 125L · 3.9 KB

├─ 📋 package.json JSON 17L · 412 B

├─ 📝 SKILL.md Markdown 179L · 4.5 KB

├─ 🐍 xhs_crawler.py Python 413L · 12.5 KB

├─ 🐍 xhs_search_with_browser.py Python 255L · 8.9 KB

└─ 📝 使用文档.md Markdown 241L · 6.2 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`playwright`	`*`	pip	No	无版本锁定
`requests`	`*`	pip	No	无版本锁定

Security Positives

✓ 功能与文档描述一致，无阴影功能

✓ 无凭证外传行为，Cookie仅本地使用和发送到飞书

✓ 无反向shell、数据窃取或C2通信

✓ 使用标准库和知名依赖（requests、playwright）

✓ 有日志记录功能便于审计

Scan Report

Findings 3 items

File Tree

Dependencies 2 items

Security Positives