youtube-to-feishu Security Report — Trusted | ClawSafe

10 /100

youtube-to-feishu

Download YouTube video audio and upload to Feishu cloud storage

合法的 YouTube 音频下载工具，代码实现了 SKILL.md 声明的功能，使用 yt-dlp 进行下载是合理用途，无恶意行为。

Skill Nameyoutube-to-feishu

Duration31.5s

Enginepi

✓

Safe to install

无需修改，可直接使用。

Findings 2 items

Severity	Finding	Location
Low	文档声明不完整 SKILL.md 未声明需要 shell:WRITE 执行 yt-dlp 和 filesystem:WRITE 写入临时文件的能力 `Tools 部分仅声明 youtube_upload 命令，未列出实际需要的 allowed-tools` → 建议在 SKILL.md 的 Tools 部分补充说明使用 subprocess 执行 yt-dlp CLI 工具	`SKILL.md:1`
Low	URL 验证较宽松 index.js:67 的 URL 验证只检查是否包含 youtube.com 或 youtu.be，未验证完整 URL 格式 `!url.includes("youtube.com") && !url.includes("youtu.be")` → 建议使用正则表达式验证完整 URL 格式，防止 URL 混淆攻击	`index.js:67`

Resource	Declared	Inferred	Status	Evidence
Shell	`NONE`	`WRITE`	✓ Aligned	index.js:31 youtube_upload.py:45-68 subprocess.run 调用 yt-dlp
Filesystem	`NONE`	`WRITE`	✓ Aligned	youtube_upload.py:60-61 写入 TEMP_DIR 临时目录
Network	`NONE`	`READ`	✓ Aligned	yt-dlp 访问 YouTube，属于功能必要

7 findings

🔗

Medium External URL 外部 URL

https://clawhub.ai

PUBLISH_GUIDE.md:24

🔗

Medium External URL 外部 URL

https://clawhub.ai/import

PUBLISH_GUIDE.md:71

🔗

Medium External URL 外部 URL

https://www.youtube.com/watch?v=VIDEO_ID

PUBLISH_GUIDE.md:103

🔗

Medium External URL 外部 URL

https://clawhub.ai/skills/youtube-to-feishu

PUBLISH_GUIDE.md:147

🔗

Medium External URL 外部 URL

https://www.youtube.com/watch?v=dyJUscv7b9g

README.md:45

🔗

Medium External URL 外部 URL

https://youtu.be/VIDEO_ID

README.md:51

🔗

Medium External URL 外部 URL

https://www.youtube.com/watch?v=...

index.js:70

File Tree

8 files · 24.1 KB · 895 lines

Markdown 3f · 468L Python 2f · 342L JavaScript 1f · 79L JSON 1f · 5L Text 1f · 1L

├─ 📋 _meta.json JSON 5L · 136 B

├─ 📜 index.js JavaScript 79L · 2.2 KB

├─ 📝 PUBLISH_GUIDE.md Markdown 194L · 4.1 KB

├─ 📝 README.md Markdown 190L · 4.3 KB

├─ 📄 requirements.txt Text 1L · 17 B

├─ 📝 SKILL.md Markdown 84L · 2.6 KB

├─ 🐍 youtube_to_feishu_complete.py Python 195L · 6.1 KB

└─ 🐍 youtube_upload.py Python 147L · 4.7 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`yt-dlp`	`>=2024.0.0`	pip	No	合法的 YouTube 下载工具，版本锁定合理

Security Positives

✓ URL 验证阻止非 YouTube 链接（youtube.com/youtu.be）

✓ subprocess 超时设置合理（60s 信息获取，300s 下载）

✓ 临时文件清理机制完善（保留新文件，删除超过1天的旧文件）

✓ 错误处理覆盖完整（returncode 检查、JSON 解析异常捕获）

✓ 只使用标准库和 yt-dlp，无过多第三方依赖

✓ 无凭证收割、远程执行、数据外泄等恶意行为

Scan Report

Findings 2 items

File Tree

Dependencies 1 items

Security Positives