xiaohongshu-win Security Report — Trusted | ClawSafe

10 /100

xiaohongshu-win

小红书 Windows 原生内容工具（搜索/报告/发布）

合法的 Windows 原生小红书自动化工具，基于 Playwright 控制 Chromium 浏览器，无恶意行为，预扫描标记的 IP 地址为误报

Skill Namexiaohongshu-win

Duration38.1s

Enginepi

✓

Safe to install

可安全使用，建议明确声明 allowed-tools 权限以便用户审核

Findings 1 items

Severity	Finding	Location
Low	allowed-tools 权限声明缺失 Doc Mismatch SKILL.md 未明确声明 allowed-tools 字段，仅通过功能描述隐式说明需要 filesystem、browser、network 权限 `metadata.openclaw 存在但缺少 allowed-tools 声明` → 建议在 SKILL.md 的 metadata 中添加 allowed-tools 字段，明确列出所需权限	`SKILL.md:1`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`WRITE`	✓ Aligned	xhs-core.js:26-28 代码读写 cookies.json、搜索结果缓存、报告文件
Browser	`NONE`	`WRITE`	✓ Aligned	xhs-core.js:36-50 launchBrowser() 通过 Playwright 控制 Chromium
Network	`NONE`	`READ`	✓ Aligned	xhs-core.js:31-32 访问小红书 API edith.xiaohongshu.com
Shell	`NONE`	`NONE`	—	无 subprocess/bash 调用

1 High 10 findings

📡

High IP Address 硬编码 IP 地址

120.0.0.0

scripts/xhs-core.js:57

🔗

Medium External URL 外部 URL

https://www.xiaohongshu.com/explore/69aee455000000001b016268

SKILL.md:111

🔗

Medium External URL 外部 URL

https://nodejs.org（LTS

references/setup.md:6

🔗

Medium External URL 外部 URL

https://npmmirror.com/mirrors/playwright

references/setup.md:52

🔗

Medium External URL 外部 URL

https://www.xiaohongshu.com

scripts/xhs-core.js:20

🔗

Medium External URL 外部 URL

https://edith.xiaohongshu.com

scripts/xhs-core.js:21

🔗

Medium External URL 外部 URL

https://www.xiaohongshu.com/

scripts/xhs-core.js:107

🔗

Medium External URL 外部 URL

https://creator.xiaohongshu.com/publish/publish

scripts/xhs-core.js:304

🔗

Medium External URL 外部 URL

https://www.xiaohongshu.com/explore/xxx

scripts/xhs.js:36

🔗

Medium External URL 外部 URL

https://www.xiaohongshu.com/explore/$

scripts/xhs.js:61

File Tree

6 files · 28.4 KB · 779 lines

JavaScript 3f · 574L Markdown 2f · 193L JSON 1f · 12L

├─ ▾ 📁 references

│ └─ 📝 setup.md Markdown 61L · 1.4 KB

├─ ▾ 📁 scripts

│ ├─ 📜 migrate-and-test.js JavaScript 18L · 666 B

│ ├─ 📋 package.json JSON 12L · 266 B

│ ├─ 📜 xhs-core.js JavaScript 373L · 14.3 KB

│ └─ 📜 xhs.js JavaScript 183L · 7.7 KB

└─ 📝 SKILL.md Markdown 132L · 4.1 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`playwright`	`^1.40.0`	npm	No	官方浏览器自动化库，版本范围合理

Security Positives

✓ 代码结构清晰，注释完整，易于审计

✓ Cookie 仅存储在本地 %USERPROFILE%\.xiaohongshu-win\，无外传行为

✓ 使用 Playwright 真实浏览器模拟人工操作，行为合理

✓ 依赖单一且来源明确（playwright 官方库）

✓ 无 Base64 编码、eval 动态执行等混淆技术

✓ 无凭证收割、环境变量遍历、远程脚本下载等高危行为

Scan Report

Findings 1 items

File Tree

Dependencies 1 items

Security Positives