中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Low Risk — Risk Score 15/100
Last scan:5 hr ago Rescan
15 /100
comfyskill
ComfyUI 图片生成技能
ComfyUI 图片生成技能,功能简单明了,仅连接本地 ComfyUI API,存在轻微文档-行为差异但不影响安全。
Skill Namecomfyskill
Duration28.2s
Enginepi
ClawHub Comfyskill v1.0.3 by edward-hsiao
📥 220 📦 1
ClawHub Verdict Suspicious env_credential_accessllm_suspiciouspotential_exfiltration
Safe to install
修复 SKILL.md 中声明的 workflow 文件名与实际代码的不一致,建议明确 WORKFLOW_PATH 环境变量的配置说明。

Findings 1 items

Severity Finding Location
Low
Workflow 文件名文档-行为不一致 Doc Mismatch
SKILL.md 声明读取 workflow.json,但 index.js 代码读取的是 WORKFLOW_PATH 环境变量下的 text2image-1.json,且该路径未在文档中说明。
const workflowPath = path.join(process.env.WORKFLOW_PATH, "text2image-1.json");
→ 更新 SKILL.md 文档,明确说明 WORKFLOW_PATH 环境变量和实际读取的文件名。
 index.js:7
ResourceDeclaredInferredStatusEvidence
Filesystem READ READ ✓ Aligned index.js:8 - fs.readFileSync(workflowPath, 'utf-8')
Network READ READ ✓ Aligned index.js:15-17 - fetch POST 到本地 ComfyUI
Environment NONE READ ✓ Aligned index.js:6-7 - 读取 COMFYUI_ENDPOINT 和 WORKFLOW_PATH 环境变量,但未在 SKILL.md 中声明
1 findings
🔗
Medium External URL 外部 URL
http://127.0.0.1:8188
SKILL.md:13

File Tree

4 files · 2.7 KB · 62 lines
JavaScript 1f · 26L JSON 2f · 22L Markdown 1f · 14L
├─ 📜 index.js JavaScript 26L · 868 B
├─ 📋 package.json JSON 10L · 140 B
├─ 📝 SKILL.md Markdown 14L · 294 B
└─ 📋 workflow.json JSON 12L · 1.4 KB

Security Positives

✓ 无外部网络请求,仅连接本地 localhost
✓ 无代码混淆或 Base64 编码
✓ 无凭证收割或环境变量遍历
✓ 无远程脚本执行
✓ 无敏感路径访问
✓ 无第三方依赖(package.json dependencies 为空)
✓ 工作流 JSON 内容正常,无恶意节点