扫描报告
22 /100
wechat-publisher
微信公众号发布技能 - 自动发布 AI 新闻到微信公众号草稿箱
Legitimate WeChat publishing skill with exposed example credentials in documentation (likely test/dev credentials, not actual malicious infrastructure). No code execution, credential theft, or data exfiltration patterns detected.
可以安装
Replace hardcoded example credentials in documentation with placeholder text. Consider removing real-looking test credentials from docs. The skill itself is safe but documentation hygiene needs improvement.
安全发现 2 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 中危 | Exposed credentials in documentation 文档欺骗 | docs/install-guide.md:111 |
| 低危 | Hardcoded example IP address 文档欺骗 | docs/install-guide.md:151 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | WRITE | WRITE | ✓ 一致 | Creates memory/, templates/, reads config/default.json |
| 网络访问 | READ | WRITE | ✓ 一致 | Makes API calls to api.weixin.qq.com for publishing |
| 命令执行 | NONE | NONE | — | No subprocess or shell execution found |
| 环境变量 | NONE | READ | ✓ 一致 | Only reads WECHAT_APP_SECRET, not enumerating all env vars |
1 高危 18 项发现
高危 IP 地址 硬编码 IP 地址
123.45.67.89 docs/install-guide.md:151 中危 外部 URL 外部 URL
https://mmbiz.qpic.cn/mmbiz_jpg/ docs/block-layout.md:91 中危 外部 URL 外部 URL
https://mp.weixin.qq.com/ docs/install-guide.md:111 中危 外部 URL 外部 URL
http://ip-api.com/json/ docs/install-guide.md:142 中危 外部 URL 外部 URL
https://clawhub.com/skill/wechat-publisher docs/install-guide.md:382 中危 外部 URL 外部 URL
https://ip-api.com/ docs/troubleshooting.md:46 中危 外部 URL 外部 URL
https://api.weixin.qq.com/ docs/troubleshooting.md:296 中危 外部 URL 外部 URL
https://docs.openclaw.ai docs/troubleshooting.md:390 中危 外部 URL 外部 URL
https://deb.nodesource.com/setup_16.x docs/user_guide.md:101 中危 外部 URL 外部 URL
https://clawhub.com docs/user_guide.md:144 中危 外部 URL 外部 URL
https://mp.weixin.qq.com docs/user_guide.md:179 中危 外部 URL 外部 URL
https://registry.npmmirror.com docs/user_guide.md:447 中危 外部 URL 外部 URL
https://discord.gg/clawd docs/user_guide.md:526 中危 外部 URL 外部 URL
https://api.weixin.qq.com/cgi-bin/token scripts/publish.py:146 中危 外部 URL 外部 URL
https://api.weixin.qq.com/cgi-bin/draft/add scripts/publish.py:283 提示 邮箱 邮箱地址
[email protected] docs/install-guide.md:219 提示 邮箱 邮箱地址
[email protected] docs/user_guide.md:527 提示 邮箱 邮箱地址
[email protected] skill.md:7 目录结构
12 文件 · 83.8 KB · 3042 行 Markdown 9f · 2547L
Python 1f · 414L
HTML 1f · 68L
JSON 1f · 13L
├─
▾
config
│ └─
default.json
JSON
├─
▾
docs
│ ├─
block-layout.md
Markdown
│ ├─
install-guide.md
Markdown
│ ├─
publish-rules.md
Markdown
│ ├─
templates.md
Markdown
│ ├─
troubleshooting.md
Markdown
│ ├─
user_guide.md
Markdown
│ └─
user-guide.md
Markdown
├─
▾
scripts
│ └─
publish.py
Python
├─
▾
templates
│ └─
v5-simple.html
HTML
├─
changelog.md
Markdown
└─
skill.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
requests | * | pip | 否 | Version not pinned but widely-used library |
安全亮点
✓ No subprocess or shell execution found in code
✓ No base64 encoding or obfuscation detected
✓ No credential harvesting (doesn't iterate through all environment variables)
✓ No data exfiltration or C2 communication
✓ No reverse shell or remote code execution
✓ No persistence mechanisms (no cron/scheduled tasks in code)
✓ No prompt injection or hidden instructions
✓ Uses legitimate WeChat official APIs
✓ Dependencies are standard (requests library only)
✓ No malicious supply chain indicators