扫描报告
5 /100
techsnif
Query TechSnif tech news intelligence via bundled CLI
TechSnif 科技新闻聚合 CLI,声明与实现完全一致,无越权操作。
可以安装
可用。仅调用公共 API 获取新闻,无文件系统写、shell 执行、凭证访问等敏感能力。
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 网络访问 | READ | READ | ✓ 一致 | scripts/techsnif-cli.cjs:3503 使用 fetch() 访问 https://api.techsnif.com |
| 文件系统 | NONE | NONE | — | 无 fs.read/write 调用,仅有 shebang 行 |
| 命令执行 | NONE | NONE | — | 无 child_process.exec/spawn,仅 commander 内部 subcommand spawn |
| 环境变量 | NONE | NONE | — | 仅读取 TECHSNIF_API_URL 用于配置,无凭证收割 |
3 项发现
中危 外部 URL 外部 URL
https://techsnif.com/ SKILL.md:4 中危 外部 URL 外部 URL
https://www.npmjs.com/package/@techsnif/cli SKILL.md:5 中危 外部 URL 外部 URL
https://api.techsnif.com SKILL.md:58 目录结构
3 文件 · 144.9 KB · 3974 行 JavaScript 1f · 3865L
Markdown 2f · 109L
├─
▾
references
│ └─
categories.md
Markdown
├─
▾
scripts
│ └─
techsnif-cli.cjs
JavaScript
└─
SKILL.md
Markdown
安全亮点
✓ 声明的公共 API 读取功能与代码实现完全一致
✓ 无文件系统写、shell 执行、凭证访问等敏感操作
✓ bundle 化的 commander 库源码可读,无隐藏恶意代码
✓ HTML/终端输出有 sanitize 处理,防止注入
✓ CLI 参数校验完整,无命令注入路径