crossborder-ecom-hub 安全扫描报告 — 可信 | ClawSafe

5 /100

crossborder-ecom-hub

跨境电商多平台管理技能 - TikTok+Amazon+Shopee+Lazada 统一管理

A legitimate cross-border e-commerce multi-platform management CLI tool with no malicious behavior detected.

技能名称crossborder-ecom-hub

分析耗时52.5s

引擎pi

✓

可以安装

This skill is safe to use. No security concerns identified.

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`WRITE`	✓ 一致	bin/cli.js:128 creates ~/.crossborder-ecom/config.json
网络访问	`NONE`	`READ`	✓ 一致	src/platforms/index.js makes API calls to tiktok/amazon/shopee/lazada
环境变量	`NONE`	`READ`	✓ 一致	src/feishu.js:15 reads FEISHU_APP_ID, FEISHU_APP_SECRET
命令执行	`NONE`	`NONE`	—	No subprocess or shell execution found
剪贴板	`NONE`	`NONE`	—	No clipboard access
浏览器	`NONE`	`NONE`	—	No browser automation
数据库	`NONE`	`NONE`	—	No database access
技能调用	`NONE`	`READ`	✓ 一致	CLI commands: sync, order, pricing, inventory, report, platform

21 项发现

🔗

中危外部 URL 外部 URL

https://partner.tiktokshop.com/

DEVELOPMENT_SUMMARY.md:282

🔗

中危外部 URL 外部 URL

https://developer.amazon.com/sp-api

DEVELOPMENT_SUMMARY.md:283

🔗

中危外部 URL 外部 URL

https://open.shopee.com/

DEVELOPMENT_SUMMARY.md:284

🔗

中危外部 URL 外部 URL

https://open.lazada.com/

DEVELOPMENT_SUMMARY.md:285

🔗

中危外部 URL 外部 URL

https://open.feishu.cn/

DEVELOPMENT_SUMMARY.md:286

🔗

中危外部 URL 外部 URL

https://clawhub.com/skills/crossborder-ecom-hub

DEVELOPMENT_SUMMARY.md:304

🔗

中危外部 URL 外部 URL

https://clawhub.com/skills/crossborder-ecom-hub/docs

DEVELOPMENT_SUMMARY.md:306

🔗

中危外部 URL 外部 URL

https://img.shields.io/npm/v/crossborder-ecom-hub.svg

README.md:5

🔗

中危外部 URL 外部 URL

https://www.npmjs.com/package/crossborder-ecom-hub

README.md:5

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/license-Commercial-blue.svg

README.md:6

🔗

中危外部 URL 外部 URL

https://img.shields.io/badge/node-%3E%3D18.0.0-brightgreen.svg

README.md:7

🔗

中危外部 URL 外部 URL

https://nodejs.org/

README.md:7

🔗

中危外部 URL 外部 URL

https://clawhub.com/skills/crossborder-ecom-hub/docs\n

demo.js:165

🔗

中危外部 URL 外部 URL

https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal

src/feishu.js:28

🔗

中危外部 URL 外部 URL

https://open.feishu.cn/open-apis/bitable/v1/apps/$

src/feishu.js:292

🔗

中危外部 URL 外部 URL

https://open-api.tiktokglobalshop.com

src/platforms/index.js:30

🔗

中危外部 URL 外部 URL

https://sellingpartnerapi-na.amazon.com

src/platforms/index.js:61

🔗

中危外部 URL 外部 URL

https://partner.shopeemobile.com

src/platforms/index.js:92

🔗

中危外部 URL 外部 URL

https://api.lazada.com

src/platforms/index.js:123

📧

提示邮箱邮箱地址

[email protected]

DEVELOPMENT_SUMMARY.md:307

📧

提示邮箱邮箱地址

[email protected]

config.example.json:49

目录结构

21 文件 · 114.6 KB · 4187 行

JavaScript 15f · 2901L Markdown 3f · 1082L JSON 3f · 204L

├─ ▾ 📁 bin

│ └─ 📜 cli.js JavaScript 203L · 6.6 KB

├─ ▾ 📁 commands

│ ├─ 📜 inventory.js JavaScript 115L · 3.9 KB

│ ├─ 📜 order.js JavaScript 116L · 3.7 KB

│ ├─ 📜 platform.js JavaScript 136L · 4.6 KB

│ ├─ 📜 pricing.js JavaScript 119L · 4.3 KB

│ ├─ 📜 report.js JavaScript 161L · 6.0 KB

│ └─ 📜 sync.js JavaScript 110L · 3.6 KB

├─ ▾ 📁 src

│ ├─ ▾ 📁 platforms

│ │ └─ 📜 index.js JavaScript 384L · 10.4 KB

│ ├─ 📜 feishu.js JavaScript 395L · 11.0 KB

│ ├─ 📜 index.js JavaScript 39L · 782 B

│ ├─ 📜 inventory.js JavaScript 212L · 5.1 KB

│ ├─ 📜 orders.js JavaScript 163L · 4.1 KB

│ ├─ 📜 pricing.js JavaScript 227L · 6.3 KB

│ └─ 📜 reports.js JavaScript 311L · 8.8 KB

├─ 📋 clawhub.json JSON 97L · 2.2 KB

├─ 📋 config.example.json JSON 62L · 1.4 KB

├─ 📜 demo.js JavaScript 210L · 7.0 KB

├─ 📝 DEVELOPMENT_SUMMARY.md Markdown 324L · 8.0 KB

├─ 📋 package.json JSON 45L · 933 B

├─ 📝 README.md Markdown 425L · 9.4 KB

└─ 📝 SKILL.md Markdown 333L · 6.4 KB

依赖分析 7 项

包名	版本	来源	已知漏洞	备注
`axios`	`^1.6.0`	npm	否	Standard HTTP client, widely used
`commander`	`^11.1.0`	npm	否	Standard CLI framework
`chalk`	`^5.3.0`	npm	否	Terminal string styling
`ora`	`^7.0.1`	npm	否	Terminal spinner
`dayjs`	`^1.11.10`	npm	否	Date manipulation library
`node-fetch`	`^3.3.2`	npm	否	Fetch API for Node.js
`dotenv`	`^16.3.1`	npm	否	Environment variable loading

安全亮点

✓ No shell execution or subprocess usage - purely Node.js application logic

✓ No credential theft or exfiltration - credentials used only for legitimate platform authentication

✓ No data exfiltration - all network calls go to official platform APIs (TikTok, Amazon, Shopee, Lazada, Feishu)

✓ No obfuscation techniques - clean, readable code without base64 or eval

✓ No hidden functionality - implementation matches documented capabilities

✓ No sensitive path access - does not read ~/.ssh, ~/.aws, or .env files

✓ No remote code execution - no curl|bash, wget|sh, or similar patterns

✓ No persistence mechanisms - no cron jobs, startup hooks, or backdoor installation

✓ Dependencies are well-known, reputable packages (axios, commander, chalk, ora, dayjs)

✓ Configuration stored locally at ~/.crossborder-ecom/config.json as documented

✓ Mock data used for demonstration - no actual API calls made without user configuration