中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 15/100
上次扫描:9 小时前 重新扫描
15 /100
youtube-transcript
Fetch and summarize transcripts from any YouTube video using yt-dlp
合法的 YouTube 字幕获取工具,代码行为与文档声明完全一致,无恶意行为,依赖管理有轻微不规范。
技能名称youtube-transcript
分析耗时47.6s
引擎pi
可以安装
可直接使用,建议规范依赖管理(清理未使用依赖,统一 license)。

安全发现 2 项

严重性 安全发现 位置
低危
未使用依赖 供应链
package.json 声明 xml2js 依赖但代码中未使用;package-lock.json 包含 @distube/ytdl-core、youtubei.js 等未声明依赖
"dependencies": { "xml2js": "^0.6.2" }
→ 清理未使用依赖,保持 package.json 和 package-lock.json 一致
 package.json, package-lock.json:13
低危
License 字段不一致 供应链
package.json 声明 MIT license,package-lock.json 根包显示 ISC
"license": "MIT" vs "license": "ISC"
→ 统一 license 字段值
 package.json:21, package-lock.json:5
资源类型声明权限推断权限状态证据
网络访问 READ READ ✓ 一致 transcript.js:72 调用 yt-dlp 访问 youtube.com 获取字幕,符合 SKILL.md 声明
命令执行 READ READ ✓ 一致 transcript.js:18 execSync('which yt-dlp'), transcript.js:73 spawnSync 调用 yt-dlp,…
文件系统 READ READ ✓ 一致 transcript.js:79-80 仅操作 os.tmpdir() 临时目录,读取后立即删除
3 项发现
🔗
中危 外部 URL 外部 URL
https://www.youtube.com/watch?v=LAdJsmTe8LM
SKILL.md:37
🔗
中危 外部 URL 外部 URL
https://www.youtube.com/watch?v=$
transcript.js:76
🔗
中危 外部 URL 外部 URL
https://www.youtube.com/watch?v=abc123
transcript.js:118

目录结构

4 文件 · 13.1 KB · 436 行
JSON 2f · 260L JavaScript 1f · 138L Markdown 1f · 38L
├─ 📋 package-lock.json JSON 238L · 8.0 KB
├─ 📋 package.json JSON 22L · 520 B
├─ 📝 SKILL.md Markdown 38L · 960 B
└─ 📜 transcript.js JavaScript 138L · 3.7 KB

依赖分析 4 项

包名版本来源已知漏洞备注
xml2js ^0.6.2 npm package.json 中声明但代码未使用
@distube/ytdl-core ^4.16.12 npm 未在 package.json 中声明
youtubei.js ^16.0.1 npm 未在 package.json 中声明
youtube-transcript ^1.3.0 npm npm 同名包,与本项目无关,未在 package.json 中声明

安全亮点

✓ 代码行为与 SKILL.md 文档完全一致,无阴影功能
✓ 使用 spawnSync 正确传递参数,避免 shell 注入风险
✓ 正确清理临时文件,防止残留
✓ 无凭证访问、无数据外泄、无混淆代码
✓ HTML 标签和 VTT 格式处理规范,有去重逻辑