中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
kay-video-upload
多平台短视频自动发布工具,支持抖音、视频号、快手、小红书、B站
合法的多平台短视频自动发布工具,使用 Playwright 浏览器自动化技术操作官方平台,无恶意行为,权限声明与实际功能基本一致。
技能名称kay-video-upload
分析耗时59.5s
引擎pi
可以安装
可安全使用。注意小红书需本地签名服务,pip install 无版本锁定为常见实践,不影响安全性。

安全发现 5 项

严重性 安全发现 位置
低危
依赖安装未在文档中声明
setup.py 使用 subprocess.check_call 执行 pip install 安装 playwright、biliup、loguru、requests,但 SKILL.md 未明确说明此行为
subprocess.check_call([sys.executable, '-m', 'pip', 'install', 'playwright', 'biliup', 'loguru', 'requests'])
→ 文档补充说明安装依赖步骤,非安全风险
 scripts/setup.py:44
提示
pip install 无版本锁定
setup.py 中 pip install 未指定版本,常见 Python 实践
'playwright', 'biliup', 'loguru', 'requests'
→ 可忽略,非安全风险
 scripts/setup.py:44
提示
本地签名服务依赖
小红书需要 XHS_SERVER(默认 http://127.0.0.1:11901)提供签名服务,用于绕过反爬虫检测
res = requests.post(f'{XHS_SERVER}/sign', json={'uri': uri, 'data': data, 'a1': a1, 'web_session': web_session})
→ 设计如此,非恶意行为
 scripts/uploader/xhs_uploader/main.py:31
提示
stealth.min.js 为反自动化检测库
基于 puppeteer-extra 的 stealth-evasions,用于绕过平台反爬虫检测(WebDriver 标识、navigator.webdriver 等),代码混淆但功能合法
Generated by: https://github.com/berstend/puppeteer-extra/tree/master/packages/extract-stealth-evasions
→ 标准反检测实践,非恶意
 scripts/utils/stealth.min.js:1
提示
Cookie 凭证本地存储
各平台登录凭证存储在 cookies/*.json,访问 BiliBili 时提取 SESSDATA、bili_jct 等字段,凭证仅用于官方 API 认证,无外传
keys_to_extract = ['SESSDATA', 'bili_jct', 'DedeUserID__ckMd5', 'DedeUserID', 'access_token']
→ 设计如此,凭证用于平台认证
 scripts/uploader/bilibili_uploader/main.py:11
资源类型声明权限推断权限状态证据
文件系统 READ WRITE ✓ 一致 写入 cookies、logs、conf.py,符合视频发布工具需求
网络访问 READ READ ✓ 一致 仅访问各平台官方 API,无外部数据传输
命令执行 NONE WRITE ✓ 一致 setup.py 使用 subprocess 安装依赖(pip install),合理
浏览器 WRITE WRITE ✓ 一致 Playwright 控制本机 Chrome 操作各平台后台
18 项发现
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:11901
README.md:78
🔗
中危 外部 URL 外部 URL
https://www.xiaohongshu.com/explore
scripts/publish.py:92
🔗
中危 外部 URL 外部 URL
https://creator.douyin.com/creator-micro/content/upload
scripts/uploader/douyin_uploader/main.py:21
🔗
中危 外部 URL 外部 URL
https://creator.douyin.com/
scripts/uploader/douyin_uploader/main.py:60
🔗
中危 外部 URL 外部 URL
https://creator.douyin.com/creator-micro/content/publish?enter_from=publish_page
scripts/uploader/douyin_uploader/main.py:126
🔗
中危 外部 URL 外部 URL
https://creator.douyin.com/creator-micro/content/post/video?enter_from=publish_page
scripts/uploader/douyin_uploader/main.py:133
🔗
中危 外部 URL 外部 URL
https://creator.douyin.com/creator-micro/content/manage**
scripts/uploader/douyin_uploader/main.py:211
🔗
中危 外部 URL 外部 URL
https://cp.kuaishou.com/article/publish/video
scripts/uploader/ks_uploader/main.py:22
🔗
中危 外部 URL 外部 URL
https://cp.kuaishou.com
scripts/uploader/ks_uploader/main.py:58
🔗
中危 外部 URL 外部 URL
https://cp.kuaishou.com/article/manage/video?status=2&from=publish
scripts/uploader/ks_uploader/main.py:179
🔗
中危 外部 URL 外部 URL
https://channels.weixin.qq.com/platform/post/create
scripts/uploader/tencent_uploader/main.py:42
🔗
中危 外部 URL 外部 URL
https://channels.weixin.qq.com
scripts/uploader/tencent_uploader/main.py:67
🔗
中危 外部 URL 外部 URL
https://channels.weixin.qq.com/platform/post/list
scripts/uploader/tencent_uploader/main.py:203
🔗
中危 外部 URL 外部 URL
https://www.xiaohongshu.com
scripts/uploader/xhs_uploader/main.py:28
🔗
中危 外部 URL 外部 URL
https://www.mnot.net/blog/2016/03/09/alt-svc
scripts/utils/stealth.min.js:7
🔗
中危 外部 URL 外部 URL
https://source.chromium.org/chromium/chromium/src/+/master:components/crx_file/id_util.cc;drc=14a055ccb17e8c8d5d437fe080...
scripts/utils/stealth.min.js:7
🔗
中危 外部 URL 外部 URL
https://developer.chrome.com/apps/runtime#method-connect\n
scripts/utils/stealth.min.js:7
🔗
中危 外部 URL 外部 URL
https://developer.mozilla.org/en-US/docs/Web/API/WebGL2RenderingContext#Browser_compatibility\n
scripts/utils/stealth.min.js:7

目录结构

24 文件 · 258.7 KB · 2152 行
Python 19f · 1865L Markdown 3f · 276L JavaScript 1f · 6L JSON 1f · 5L
├─ 📁 references
│ └─ 📝 platforms.md Markdown 40L · 1.4 KB
├─ 📁 scripts
│ ├─ 📁 uploader
│ │ ├─ 📁 bilibili_uploader
│ │ │ ├─ 🐍 __init__.py Python 1L · 2 B
│ │ │ └─ 🐍 main.py Python 79L · 3.4 KB
│ │ ├─ 📁 douyin_uploader
│ │ │ ├─ 🐍 __init__.py Python 1L · 2 B
│ │ │ └─ 🐍 main.py Python 394L · 19.4 KB
│ │ ├─ 📁 ks_uploader
│ │ │ ├─ 🐍 __init__.py Python 1L · 2 B
│ │ │ └─ 🐍 main.py Python 213L · 9.0 KB
│ │ ├─ 📁 tencent_uploader
│ │ │ ├─ 🐍 __init__.py Python 1L · 2 B
│ │ │ └─ 🐍 main.py Python 285L · 13.9 KB
│ │ ├─ 📁 xhs_uploader
│ │ │ ├─ 🐍 __init__.py Python 1L · 2 B
│ │ │ └─ 🐍 main.py Python 58L · 2.3 KB
│ │ └─ 🐍 __init__.py Python 1L · 2 B
│ ├─ 📁 utils
│ │ ├─ 🐍 __init__.py Python 1L · 2 B
│ │ ├─ 🐍 base_social_media.py Python 29L · 797 B
│ │ ├─ 🐍 constant.py Python 309L · 8.2 KB
│ │ ├─ 🐍 files_times.py Python 83L · 2.7 KB
│ │ ├─ 🐍 log.py Python 53L · 1.9 KB
│ │ └─ 📜 stealth.min.js JavaScript 6L · 176.2 KB
│ ├─ 🐍 conf.py Python 20L · 690 B
│ ├─ 🐍 publish.py Python 256L · 9.8 KB
│ └─ 🐍 setup.py Python 79L · 2.3 KB
├─ 📋 _meta.json JSON 5L · 135 B
├─ 📝 README.md Markdown 139L · 3.3 KB
└─ 📝 SKILL.md Markdown 97L · 3.4 KB

依赖分析 4 项

包名版本来源已知漏洞备注
playwright * pip 无版本锁定,标准实践
biliup * pip B站上传工具
loguru * pip 日志库
requests * pip HTTP 库

安全亮点

✓ 代码结构清晰,各平台模块独立
✓ 仅访问官方平台 API,无第三方数据外传
✓ 使用本机 Chrome,cookie 凭证不离开本地
✓ 小红书签名仅发往本地服务(127.0.0.1:11901)
✓ 无 base64|bash 管道、裸 IP 请求、eval(atob()) 等高危模式
✓ 无环境变量遍历收割敏感关键字行为
✓ 无远程脚本执行(curl|bash/wget|sh)
✓ 无访问 ~/.ssh、~/.aws、.env 等敏感路径
✓ Cookie 凭证用于官方平台认证,未外传