xhs-crawler 安全扫描报告 — 低风险 | ClawSafe

20 /100

xhs-crawler

小红书关键词爬取工具，支持浏览器模拟搜索和飞书推送

小红书爬虫技能功能正常，无恶意行为发现。存在权限声明不完整和硬编码凭证的轻微瑕疵，但不影响安全性。

技能名称xhs-crawler

分析耗时60.0s

引擎pi

✓

可以安装

建议补充 allowed-tools 声明（shell:WRITE, filesystem:WRITE, network:WRITE），将飞书凭证移至环境变量。

安全发现 3 项

严重性	安全发现	位置
低危	权限声明缺失权限提升 SKILL.md未声明实际使用的权限（shell执行、文件系统写入、网络调用） `文档仅描述功能，未声明allowed-tools` → 在SKILL.md中添加allowed-tools声明	`SKILL.md:1`
低危	凭证硬编码敏感访问飞书应用凭证硬编码在config.py中 `FEISHU_APP_ID = "cli_a924d921ce7a9cbd" FEISHU_APP_SECRET = "5QG92Lp8kvhAkgpPJTd57fIxshnCebEt"` → 使用环境变量或配置文件管理凭证	`config.py:90`
提示	User-Agent占位符文档欺骗 config.py中User-Agent包含测试IP 143.0.0.0 `"user-agent": "... Chrome/143.0.0.0 Mobile Safari/537.36 Edg/143.0.0"` → 使用真实版本号替换占位符	`config.py:50`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`WRITE`	✓ 一致	cookie.txt, xhs_chrome_profile写入
网络访问	`NONE`	`WRITE`	✓ 一致	小红书API、飞书API调用
命令执行	`NONE`	`WRITE`	✓ 一致	index.js:140 exec()执行Python
浏览器	`NONE`	`WRITE`	✓ 一致	Playwright浏览器自动化

1 高危 14 项发现

📡

高危 IP 地址硬编码 IP 地址

143.0.0.0

config.py:50

🔗

中危外部 URL 外部 URL

https://www.xiaohongshu.com/explore

auto_login_with_qrcode.py:96

🔗

中危外部 URL 外部 URL

https://edith.xiaohongshu.com/api/sns/web/v1/search/notes

config.py:30

🔗

中危外部 URL 外部 URL

https://edith.xiaohongshu.com/api/sns/web/v1/feed

config.py:31

🔗

中危外部 URL 外部 URL

https://www.xiaohongshu.com

config.py:40

🔗

中危外部 URL 外部 URL

https://www.xiaohongshu.com/

config.py:43

🔗

中危外部 URL 外部 URL

https://www.xiaohongshu.com/user/profile

cookie_manager.py:82

🔗

中危外部 URL 外部 URL

https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal

feishu_app_bot.py:67

🔗

中危外部 URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/messages

feishu_app_bot.py:109

🔗

中危外部 URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/images

feishu_app_bot.py:222

🔗

中危外部 URL 外部 URL

https://open.feishu.cn/open-apis/im/v1/chats

feishu_app_bot.py:368

🔗

中危外部 URL 外部 URL

https://www.xiaohongshu.com/explore/

xhs_crawler.py:181

🔗

中危外部 URL 外部 URL

https://www.xiaohongshu.com/search_result?keyword=

xhs_search_with_browser.py:86

🔗

中危外部 URL 外部 URL

https://open.feishu.cn/

使用文档.md:67

目录结构

15 文件 · 94.0 KB · 3138 行

Python 10f · 2525L Markdown 2f · 420L JavaScript 1f · 175L JSON 1f · 17L Text 1f · 1L

├─ 🐍 __init__.py Python 26L · 590 B

├─ 🐍 auto_login_with_qrcode.py Python 319L · 10.2 KB

├─ 🐍 config.py Python 98L · 2.9 KB

├─ 🐍 cookie_manager.py Python 327L · 10.1 KB

├─ 📄 cookie.txt Text 1L · 880 B

├─ 🐍 example_openclaw_skill.py Python 218L · 6.3 KB

├─ 🐍 feishu_app_bot.py Python 444L · 13.2 KB

├─ 🐍 feishu_bot.py Python 300L · 8.1 KB

├─ 📜 index.js JavaScript 175L · 5.6 KB

├─ 🐍 login.py Python 125L · 3.9 KB

├─ 📋 package.json JSON 17L · 412 B

├─ 📝 SKILL.md Markdown 179L · 4.5 KB

├─ 🐍 xhs_crawler.py Python 413L · 12.5 KB

├─ 🐍 xhs_search_with_browser.py Python 255L · 8.9 KB

└─ 📝 使用文档.md Markdown 241L · 6.2 KB

依赖分析 2 项

包名	版本	来源	已知漏洞	备注
`playwright`	`*`	pip	否	无版本锁定
`requests`	`*`	pip	否	无版本锁定

安全亮点

✓ 功能与文档描述一致，无阴影功能

✓ 无凭证外传行为，Cookie仅本地使用和发送到飞书

✓ 无反向shell、数据窃取或C2通信

✓ 使用标准库和知名依赖（requests、playwright）

✓ 有日志记录功能便于审计