html-to-markdown Security Report — Low Risk | ClawSafe

15 /100

html-to-markdown

Convert HTML to Markdown using MinerU

纯文档型技能，无代码执行风险；mineru-open-api 为第三方可信开源工具链

Skill Namehtml-to-markdown

Duration30.6s

Enginepi

✓

Safe to install

可直接使用。mineru-open-api 来自 OpenDataLab 上海 AI Lab 的开源项目，若需更高安全保障可自托管 MinerU 服务。

Findings 2 items

Severity	Finding	Location
Low	第三方 CLI 工具不可审计所有实际 HTML 处理由 mineru-open-api 执行，无法审查其实际代码实现。工具来自 OpenDataLab（上海 AI Lab）开源项目，具有较高可信度。 `npm install -g mineru-open-api` → 如需更高安全标准，可考虑自托管 MinerU 开源版本（github.com/opendatalab/MinerU）	`SKILL.md:15`
Low	Token 凭证声明不完整需要 MINERU_TOKEN 但未说明其用途范围和安全保障级别 `export MINERU_TOKEN="your-token"` → 确认 MINERU_TOKEN 仅用于 mineru.net API 认证，不会被传递给第三方	`SKILL.md:47`

Resource	Declared	Inferred	Status	Evidence
Network	`READ`	`READ`	✓ Aligned	SKILL.md:29 - crawl https://example.com/article
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md:33 - extract page.html
Shell	`WRITE`	`WRITE`	✓ Aligned	SKILL.md:15-16 - npm/golang 安装命令

2 findings

🔗

Medium External URL 外部 URL

https://mineru.net

SKILL.md:4

🔗

Medium External URL 外部 URL

https://mineru.net/apiManage/token

SKILL.md:42

1 files · 2.8 KB · 57 lines

Markdown 1f · 57L

└─ 📝 SKILL.md Markdown 57L · 2.8 KB

Package	Version	Source	Known Vulns	Notes
`mineru-open-api`	`latest`	npm/go	No	第三方 CLI 工具，来自 OpenDataLab 官方

✓ 纯文档型技能，无本地脚本代码执行

✓ mineru-open-api 来自上海 AI Lab 官方开源项目，有公开代码仓库

✓ 功能单一明确，权限声明清晰

✓ 无文件系统越权、无凭证收割、无远程代码执行风险

✓ 工具安装命令标准化（npm/go install）