AI Content Repurposer 安全扫描报告 — 可信 | ClawSafe

5 /100

AI Content Repurposer

将长格式内容转换为多平台格式的工具（YouTube→TikTok、Blog→Twitter/LinkedIn、Podcast→Transcript）

内容转换工具，功能实现与文档声明一致，无恶意行为，无越权操作

技能名称AI Content Repurposer

分析耗时29.0s

引擎pi

✓

可以安装

可安全使用

安全发现 2 项

严重性	安全发现	位置
提示	示例凭证占位符 SKILL.md 第 257 行包含 'your-openai-api-key' 作为使用示例，非真实凭证 `apiKey: 'your-openai-api-key'` → 无需处理，这是文档示例	`SKILL.md:257`
提示	依赖版本无锁定 package.json 中 axios 和 cheerio 使用 ^ 范围版本，可能存在兼容性问题 `"axios": "^1.6.0", "cheerio": "^1.0.0-rc.12"` → 生产环境建议使用锁定版本	`package.json:29`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	bin/cli.js:46 fs.readFileSync 用于读取输入文件
文件系统	`WRITE`	`WRITE`	✓ 一致	bin/cli.js:50 fs.writeFileSync 用于写入输出结果
网络访问	`READ`	`READ`	✓ 一致	src/converter.js:181 axios.get(url) 抓取博客内容
网络访问	`READ`	`READ`	✓ 一致	src/converter.js:220 axios.post 调用 OpenAI API
命令执行	`NONE`	`NONE`	—	代码中无 shell 执行
环境变量	`READ`	`READ`	✓ 一致	src/converter.js:11 process.env.OPENAI_API_KEY

1 高危 9 项发现

🔑

高危 API 密钥疑似硬编码凭证

apiKey: 'your-openai-api-key'

SKILL.md:257

🔗

中危外部 URL 外部 URL

https://yourblog.com/post

QUICKSTART.md:41

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/version-1.0.0-blue

README.md:7

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/license-MIT-green

README.md:8

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/node-%3E%3D18.0.0-brightgreen

README.md:9

🔗

中危外部 URL 外部 URL

https://clawhub.ai/skills/ai-content-repurposer

README.md:294

🔗

中危外部 URL 外部 URL

https://www.youtube.com/watch?v=dQw4w9WgXcQ

test/test.js:30

🔗

中危外部 URL 外部 URL

https://youtu.be/dQw4w9WgXcQ

test/test.js:37

📧

提示邮箱邮箱地址

[email protected]

README.md:296

目录结构

13 文件 · 84.3 KB · 2900 行

Markdown 5f · 1346L JavaScript 3f · 778L JSON 4f · 749L Text 1f · 27L

├─ ▾ 📁 bin

│ └─ 📜 cli.js JavaScript 327L · 10.8 KB

├─ ▾ 📁 examples

│ ├─ 📋 batch-config.json JSON 33L · 864 B

│ └─ 📄 sample-transcript.txt Text 27L · 1.8 KB

├─ ▾ 📁 src

│ └─ 📜 converter.js JavaScript 363L · 11.0 KB

├─ ▾ 📁 test

│ └─ 📜 test.js JavaScript 88L · 2.5 KB

├─ 📋 clawhub.json JSON 65L · 1.6 KB

├─ 📝 COMPLETION_REPORT.md Markdown 337L · 9.3 KB

├─ 📝 LAUNCH_CHECKLIST.md Markdown 179L · 4.9 KB

├─ 📋 package-lock.json JSON 609L · 21.3 KB

├─ 📋 package.json JSON 42L · 1003 B

├─ 📝 QUICKSTART.md Markdown 166L · 3.8 KB

├─ 📝 README.md Markdown 327L · 6.6 KB

└─ 📝 SKILL.md Markdown 337L · 8.7 KB

依赖分析 3 项

包名	版本	来源	已知漏洞	备注
`commander`	`^11.0.0`	npm	否	CLI 框架，可信来源
`axios`	`^1.6.0`	npm	否	HTTP 客户端，用于 API 调用
`cheerio`	`^1.0.0-rc.12`	npm	否	HTML 解析，用于博客内容抓取

安全亮点

✓ 功能声明与实际实现完全一致

✓ 无 shell 执行或敏感系统调用

✓ 无凭证收割或数据外泄行为

✓ 无环境变量遍历

✓ 网络请求仅限于内容抓取和 OpenAI API

✓ 代码结构清晰，无混淆或隐藏逻辑

✓ 依赖来源可信（npm 官方包）