中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:4 小时前 重新扫描
5 /100
convert-markdown
基于 MarkItDown 的多格式文档转换工具,支持 PDF、Word、PowerPoint、Excel 等批量转 Markdown
标准文档转换技能,无恶意行为,依赖管理存在轻微瑕疵但不影响核心安全
技能名称convert-markdown
分析耗时30.1s
引擎pi
ClawHub 文档整理技能 (convert-markdown) v1.0.3 by byteuser1977
📥 285 📦 2
ClawHub 判定 可疑 dangerous_execllm_suspicious
可以安装
可正常使用,建议在受控环境中安装依赖以避免供应链风险

安全发现 2 项

严重性 安全发现 位置
低危
Python 依赖无版本锁定 供应链
manifest.json 中 pip_packages 使用 '>=0.1.5' 而非固定版本,pip install 时可能安装最新版本带来不确定性
"pip_packages": ["markitdown[docx,xlsx,pdf]>=0.1.5"]
→ 建议锁定具体版本:markitdown[docx,xlsx,pdf]==0.1.5
 manifest.json:7
提示
外部 URL 引用 文档欺骗
references/ 目录下存在外部 URL 引用,属于文档参考链接,风险较低
https://youtu.be/xxx
→ 无需处理,属于文档内容
 references/FORMATS.md:64
资源类型声明权限推断权限状态证据
文件系统 READ READ ✓ 一致 SKILL.md 声明文档读取
文件系统 WRITE WRITE ✓ 一致 SKILL.md 声明生成 Markdown 输出
命令执行 WRITE WRITE ✓ 一致 cli.py:36-45 subprocess.run() 执行转换命令
2 项发现
🔗
中危 外部 URL 外部 URL
https://youtu.be/xxx
references/FORMATS.md:64
🔗
中危 外部 URL 外部 URL
https://ocrmypdf.readthedocs.io/
references/PDF_CONFIG.md:126

目录结构

12 文件 · 50.4 KB · 1758 行
Markdown 5f · 997L Python 4f · 584L JSON 2f · 127L JavaScript 1f · 50L
├─ 📁 bin
│ └─ 📜 convert-markdown.js JavaScript 50L · 1.2 KB
├─ 📁 references
│ ├─ 📝 API_REFERENCE.md Markdown 325L · 7.7 KB
│ ├─ 📝 FORMATS.md Markdown 95L · 3.0 KB
│ └─ 📝 PDF_CONFIG.md Markdown 125L · 3.2 KB
├─ 📁 scripts
│ ├─ 🐍 batch_convert.py Python 127L · 4.0 KB
│ ├─ 🐍 cli.py Python 136L · 4.3 KB
│ ├─ 🐍 convert_markonverter.py Python 108L · 3.2 KB
│ └─ 🐍 kb_index_generator.py Python 213L · 8.0 KB
├─ 📋 manifest.json JSON 66L · 1.9 KB
├─ 📋 package.json JSON 61L · 1.6 KB
├─ 📝 README.md Markdown 165L · 4.2 KB
└─ 📝 SKILL.md Markdown 287L · 8.1 KB

依赖分析 1 项

包名版本来源已知漏洞备注
markitdown >=0.1.5 pip 无版本锁定,存在供应链不确定性

安全亮点

✓ 代码逻辑清晰,无混淆或隐藏功能
✓ 所有文件操作仅限用户指定的文档路径
✓ 无环境变量遍历或敏感文件访问
✓ 无网络外传数据行为
✓ subprocess 调用合法(文档转换工具标准用法)
✓ 无凭证收割或数据窃取行为
✓ 使用标准 markitdown 库,无可疑第三方依赖