Name: convert-markdown Security Report — Trusted | ClawSafe
Item: convert-markdown
Rating: 95
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

5 /100

convert-markdown

基于 MarkItDown 的多格式文档转换工具，支持 PDF、Word、PowerPoint、Excel 等批量转 Markdown

标准文档转换技能，无恶意行为，依赖管理存在轻微瑕疵但不影响核心安全

Skill Nameconvert-markdown

Duration30.1s

Enginepi

ClawHub 文档整理技能 (convert-markdown) v1.0.3 by byteuser1977

📥 285 📦 2

ClawHub Verdict Suspicious dangerous_execllm_suspicious

✓

Safe to install

可正常使用，建议在受控环境中安装依赖以避免供应链风险

Findings 2 items

Severity	Finding	Location
Low	Python 依赖无版本锁定 Supply Chain manifest.json 中 pip_packages 使用 '>=0.1.5' 而非固定版本，pip install 时可能安装最新版本带来不确定性 `"pip_packages": ["markitdown[docx,xlsx,pdf]>=0.1.5"]` → 建议锁定具体版本：markitdown[docx,xlsx,pdf]==0.1.5	`manifest.json:7`
Info	外部 URL 引用 Doc Mismatch references/ 目录下存在外部 URL 引用，属于文档参考链接，风险较低 `https://youtu.be/xxx` → 无需处理，属于文档内容	`references/FORMATS.md:64`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md 声明文档读取
Filesystem	`WRITE`	`WRITE`	✓ Aligned	SKILL.md 声明生成 Markdown 输出
Shell	`WRITE`	`WRITE`	✓ Aligned	cli.py:36-45 subprocess.run() 执行转换命令

2 findings

🔗

Medium External URL 外部 URL

https://youtu.be/xxx

references/FORMATS.md:64

🔗

Medium External URL 外部 URL

https://ocrmypdf.readthedocs.io/

references/PDF_CONFIG.md:126

File Tree

12 files · 50.4 KB · 1758 lines

Markdown 5f · 997L Python 4f · 584L JSON 2f · 127L JavaScript 1f · 50L

├─ ▾ 📁 bin

│ └─ 📜 convert-markdown.js JavaScript 50L · 1.2 KB

├─ ▾ 📁 references

│ ├─ 📝 API_REFERENCE.md Markdown 325L · 7.7 KB

│ ├─ 📝 FORMATS.md Markdown 95L · 3.0 KB

│ └─ 📝 PDF_CONFIG.md Markdown 125L · 3.2 KB

├─ ▾ 📁 scripts

│ ├─ 🐍 batch_convert.py Python 127L · 4.0 KB

│ ├─ 🐍 cli.py Python 136L · 4.3 KB

│ ├─ 🐍 convert_markonverter.py Python 108L · 3.2 KB

│ └─ 🐍 kb_index_generator.py Python 213L · 8.0 KB

├─ 📋 manifest.json JSON 66L · 1.9 KB

├─ 📋 package.json JSON 61L · 1.6 KB

├─ 📝 README.md Markdown 165L · 4.2 KB

└─ 📝 SKILL.md Markdown 287L · 8.1 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`markitdown`	`>=0.1.5`	pip	No	无版本锁定，存在供应链不确定性

Security Positives

✓ 代码逻辑清晰，无混淆或隐藏功能

✓ 所有文件操作仅限用户指定的文档路径

✓ 无环境变量遍历或敏感文件访问

✓ 无网络外传数据行为

✓ subprocess 调用合法（文档转换工具标准用法）

✓ 无凭证收割或数据窃取行为

✓ 使用标准 markitdown 库，无可疑第三方依赖

Scan Report

Findings 2 items

File Tree

Dependencies 1 items

Security Positives