Name: comfyskill 安全扫描报告 — 低风险 | ClawSafe
Item: comfyskill
Rating: 85
Author: ClawSafe

15 /100

comfyskill

ComfyUI 图片生成技能

ComfyUI 图片生成技能，功能简单明了，仅连接本地 ComfyUI API，存在轻微文档-行为差异但不影响安全。

技能名称comfyskill

分析耗时28.2s

引擎pi

ClawHub Comfyskill v1.0.3 by edward-hsiao

📥 220 📦 1

ClawHub 判定可疑 env_credential_accessllm_suspiciouspotential_exfiltration

✓

可以安装

修复 SKILL.md 中声明的 workflow 文件名与实际代码的不一致，建议明确 WORKFLOW_PATH 环境变量的配置说明。

安全发现 1 项

严重性	安全发现	位置
低危	Workflow 文件名文档-行为不一致文档欺骗 SKILL.md 声明读取 workflow.json，但 index.js 代码读取的是 WORKFLOW_PATH 环境变量下的 text2image-1.json，且该路径未在文档中说明。 `const workflowPath = path.join(process.env.WORKFLOW_PATH, "text2image-1.json");` → 更新 SKILL.md 文档，明确说明 WORKFLOW_PATH 环境变量和实际读取的文件名。	`index.js:7`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	index.js:8 - fs.readFileSync(workflowPath, 'utf-8')
网络访问	`READ`	`READ`	✓ 一致	index.js:15-17 - fetch POST 到本地 ComfyUI
环境变量	`NONE`	`READ`	✓ 一致	index.js:6-7 - 读取 COMFYUI_ENDPOINT 和 WORKFLOW_PATH 环境变量，但未在 SKILL.md 中声明

1 项发现

🔗

中危外部 URL 外部 URL

http://127.0.0.1:8188

SKILL.md:13

目录结构

4 文件 · 2.7 KB · 62 行

JavaScript 1f · 26L JSON 2f · 22L Markdown 1f · 14L

├─ 📜 index.js JavaScript 26L · 868 B

├─ 📋 package.json JSON 10L · 140 B

├─ 📝 SKILL.md Markdown 14L · 294 B

└─ 📋 workflow.json JSON 12L · 1.4 KB

✓ 无外部网络请求，仅连接本地 localhost

✓ 无代码混淆或 Base64 编码

✓ 无凭证收割或环境变量遍历

✓ 无远程脚本执行

✓ 无敏感路径访问

✓ 无第三方依赖（package.json dependencies 为空）

✓ 工作流 JSON 内容正常，无恶意节点