wenshushu-file-uploader Security Report — Trusted | ClawSafe

5 /100

wenshushu-file-uploader

文叔叔文件上传技能，自动上传文件到文叔叔并生成分享链接和取件码

这是一个标准的文叔叔文件上传技能，代码功能与文档声明完全一致，无恶意行为。

Skill Namewenshushu-file-uploader

Duration55.1s

Enginepi

✓

Safe to install

可直接使用。建议维护者将硬编码的 UV_PATH 改为动态检测以提高健壮性。

Findings 3 items

Severity	Finding	Location
Low	uv 安装使用 curl\|sh 管道 Supply Chain install.sh 第 11 行使用 `curl -LsSf https://astral.sh/uv/install.sh \| sh` 安装 uv，属于远程脚本执行。但这是安装声明依赖项 uv 的标准方式，且已在 SKILL.md 中明确说明，为合理用途。 `curl -LsSf https://astral.sh/uv/install.sh \| sh` → 可考虑改用包管理器安装 uv（如 apt install uv）以减少管道执行风险，但当前方式对包管理器安装工具而言属于业界通行做法。	`install.sh:11`
Low	硬编码 uv 路径可能导致安装失败 Priv Escalation scripts/upload.py 硬编码 UV_PATH="/root/.local/bin/uv"，若 uv 安装到其他位置会无法找到，但不影响安全性。 `UV_PATH = "/root/.local/bin/uv"` → 建议使用 shutil.which("uv") 动态检测 uv 路径。	`scripts/upload.py:10`
Low	文档提及敏感路径访问但未实际实现 Sensitive Access SKILL.md 中提到 ~/.config/wenshushu/token.txt 和 ~/.openclaw/memory/wenshushu-uploads.jsonl 作为配置/记录路径，暗示会读写这些位置。但 upload.py 实际代码中并未访问这些路径（当前仅调用 wssf 工具），属于文档声明但未实现的功能。 `登录 token: ~/.config/wenshushu/token.txt` → 确认这些路径访问是否为未来计划，如无需从文档中移除以避免混淆。	`SKILL.md:136`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	scripts/upload.py:88 filepath.exists()
Shell	`WRITE`	`WRITE`	✓ Aligned	scripts/upload.py:24 subprocess.run([UV_PATH, "run", "wssf", ...])
Network	`READ`	`READ`	✓ Aligned	SKILL.md: 上传文件到 wenshushu.cn
Environment	`READ`	`READ`	✓ Aligned	install.sh:11 检查 python3 命令

1 Critical 16 findings

💀

Critical Dangerous Command 危险 Shell 命令

curl -LsSf https://astral.sh/uv/install.sh | sh

README.md:65

🔗

Medium External URL 外部 URL

https://astral.sh/uv/install.sh

README.md:65

🔗

Medium External URL 外部 URL

https://c.wss.ink/f/xxxxx

README.md:86

🔗

Medium External URL 外部 URL

http://127.0.0.1:7890

README.md:102

🔗

Medium External URL 外部 URL

https://www.wenshushu.cn

README.md:139

🔗

Medium External URL 外部 URL

https://c.wss.ink/f/jfgffcbqack

README.md:218

🔗

Medium External URL 外部 URL

https://www.wenshushu.cn/t/jfgffCbQD8zbtJCs

README.md:223

🔗

Medium External URL 外部 URL

https://c.wss.ink/f/xxxxxx

README.md:237

🔗

Medium External URL 外部 URL

https://c.wss.ink/f/aaa

README.md:249

🔗

Medium External URL 外部 URL

https://c.wss.ink/f/bbb

README.md:253

🔗

Medium External URL 外部 URL

https://c.wss.ink/f/ccc

README.md:257

🔗

Medium External URL 外部 URL

https://wenshushu.cn

README.md:360

🔗

Medium External URL 外部 URL

https://openclaw.ai

README.md:362

🔗

Medium External URL 外部 URL

https://www.wenshushu.cn/t/xxxxx

SKILL.md:87

🔗

Medium External URL 外部 URL

https://c.wss.ink/f/jfgeidlyzdf

SKILL.md:233

🔗

Medium External URL 外部 URL

https://www.wenshushu.cn/t/jfgeiDlYwit3IuLs

SKILL.md:236

File Tree

5 files · 21.9 KB · 868 lines

Markdown 2f · 642L Python 1f · 183L Shell 1f · 37L JSON 1f · 6L

├─ ▾ 📁 scripts

│ └─ 🐍 upload.py Python 183L · 4.9 KB

├─ 📋 _meta.json JSON 6L · 235 B

├─ 🔧 install.sh Shell 37L · 940 B

├─ 📝 README.md Markdown 375L · 9.4 KB

└─ 📝 SKILL.md Markdown 267L · 6.5 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`wssf`	`5.0.6`	pip (uv pip)	No	版本已锁定，来源为 PyPI
`uv`	`未声明`	官方安装脚本	No	通过 curl\|sh 从 astral.sh 安装，SKILL.md 已声明

Security Positives

✓ 依赖包版本锁定：wssf==5.0.6，避免依赖供应链风险

✓ 代码实现与 SKILL.md 文档声明高度一致，无阴影功能

✓ 文件路径通过 Path.resolve() 和 .exists() 进行了合法性检查

✓ subprocess 调用有明确的 timeout（5分钟），防止资源耗尽

✓ 使用 uv 虚拟环境隔离依赖，符合最佳实践

✓ 无 base64、eval、字符串拼接命令注入等危险模式

✓ 无凭证收割、远程 C2 通信或数据外泄行为

✓ 错误处理完善，返回结构化的成功/失败信息

Scan Report

Findings 3 items

File Tree

Dependencies 2 items

Security Positives