扫描报告
10 /100
xiaohongshu-win
小红书 Windows 原生内容工具(搜索/报告/发布)
合法的 Windows 原生小红书自动化工具,基于 Playwright 控制 Chromium 浏览器,无恶意行为,预扫描标记的 IP 地址为误报
可以安装
可安全使用,建议明确声明 allowed-tools 权限以便用户审核
安全发现 1 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | allowed-tools 权限声明缺失 文档欺骗 | SKILL.md:1 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | NONE | WRITE | ✓ 一致 | xhs-core.js:26-28 代码读写 cookies.json、搜索结果缓存、报告文件 |
| 浏览器 | NONE | WRITE | ✓ 一致 | xhs-core.js:36-50 launchBrowser() 通过 Playwright 控制 Chromium |
| 网络访问 | NONE | READ | ✓ 一致 | xhs-core.js:31-32 访问小红书 API edith.xiaohongshu.com |
| 命令执行 | NONE | NONE | — | 无 subprocess/bash 调用 |
1 高危 10 项发现
高危 IP 地址 硬编码 IP 地址
120.0.0.0 scripts/xhs-core.js:57 中危 外部 URL 外部 URL
https://www.xiaohongshu.com/explore/69aee455000000001b016268 SKILL.md:111 中危 外部 URL 外部 URL
https://nodejs.org(LTS references/setup.md:6 中危 外部 URL 外部 URL
https://npmmirror.com/mirrors/playwright references/setup.md:52 中危 外部 URL 外部 URL
https://www.xiaohongshu.com scripts/xhs-core.js:20 中危 外部 URL 外部 URL
https://edith.xiaohongshu.com scripts/xhs-core.js:21 中危 外部 URL 外部 URL
https://www.xiaohongshu.com/ scripts/xhs-core.js:107 中危 外部 URL 外部 URL
https://creator.xiaohongshu.com/publish/publish scripts/xhs-core.js:304 中危 外部 URL 外部 URL
https://www.xiaohongshu.com/explore/xxx scripts/xhs.js:36 中危 外部 URL 外部 URL
https://www.xiaohongshu.com/explore/$ scripts/xhs.js:61 目录结构
6 文件 · 28.4 KB · 779 行 JavaScript 3f · 574L
Markdown 2f · 193L
JSON 1f · 12L
├─
▾
references
│ └─
setup.md
Markdown
├─
▾
scripts
│ ├─
migrate-and-test.js
JavaScript
│ ├─
package.json
JSON
│ ├─
xhs-core.js
JavaScript
│ └─
xhs.js
JavaScript
└─
SKILL.md
Markdown
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
playwright | ^1.40.0 | npm | 否 | 官方浏览器自动化库,版本范围合理 |
安全亮点
✓ 代码结构清晰,注释完整,易于审计
✓ Cookie 仅存储在本地 %USERPROFILE%\.xiaohongshu-win\,无外传行为
✓ 使用 Playwright 真实浏览器模拟人工操作,行为合理
✓ 依赖单一且来源明确(playwright 官方库)
✓ 无 Base64 编码、eval 动态执行等混淆技术
✓ 无凭证收割、环境变量遍历、远程脚本下载等高危行为