Scan Report
5 /100
techsnif
Query TechSnif tech news intelligence via bundled CLI
TechSnif 科技新闻聚合 CLI,声明与实现完全一致,无越权操作。
Safe to install
可用。仅调用公共 API 获取新闻,无文件系统写、shell 执行、凭证访问等敏感能力。
| Resource | Declared | Inferred | Status | Evidence |
|---|---|---|---|---|
| Network | READ | READ | ✓ Aligned | scripts/techsnif-cli.cjs:3503 使用 fetch() 访问 https://api.techsnif.com |
| Filesystem | NONE | NONE | — | 无 fs.read/write 调用,仅有 shebang 行 |
| Shell | NONE | NONE | — | 无 child_process.exec/spawn,仅 commander 内部 subcommand spawn |
| Environment | NONE | NONE | — | 仅读取 TECHSNIF_API_URL 用于配置,无凭证收割 |
3 findings
Medium External URL 外部 URL
https://techsnif.com/ SKILL.md:4 Medium External URL 外部 URL
https://www.npmjs.com/package/@techsnif/cli SKILL.md:5 Medium External URL 外部 URL
https://api.techsnif.com SKILL.md:58 File Tree
3 files · 144.9 KB · 3974 lines JavaScript 1f · 3865L
Markdown 2f · 109L
├─
▾
references
│ └─
categories.md
Markdown
├─
▾
scripts
│ └─
techsnif-cli.cjs
JavaScript
└─
SKILL.md
Markdown
Security Positives
✓ 声明的公共 API 读取功能与代码实现完全一致
✓ 无文件系统写、shell 执行、凭证访问等敏感操作
✓ bundle 化的 commander 库源码可读,无隐藏恶意代码
✓ HTML/终端输出有 sanitize 处理,防止注入
✓ CLI 参数校验完整,无命令注入路径