中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 15/100
上次扫描:2 天前 重新扫描
15 /100
html-to-markdown
Convert HTML to Markdown using MinerU
纯文档型技能,无代码执行风险;mineru-open-api 为第三方可信开源工具链
技能名称html-to-markdown
分析耗时30.6s
引擎pi
可以安装
可直接使用。mineru-open-api 来自 OpenDataLab 上海 AI Lab 的开源项目,若需更高安全保障可自托管 MinerU 服务。

安全发现 2 项

严重性 安全发现 位置
低危
第三方 CLI 工具不可审计
所有实际 HTML 处理由 mineru-open-api 执行,无法审查其实际代码实现。工具来自 OpenDataLab(上海 AI Lab)开源项目,具有较高可信度。
npm install -g mineru-open-api
→ 如需更高安全标准,可考虑自托管 MinerU 开源版本(github.com/opendatalab/MinerU)
 SKILL.md:15
低危
Token 凭证声明不完整
需要 MINERU_TOKEN 但未说明其用途范围和安全保障级别
export MINERU_TOKEN="your-token"
→ 确认 MINERU_TOKEN 仅用于 mineru.net API 认证,不会被传递给第三方
 SKILL.md:47
资源类型声明权限推断权限状态证据
网络访问 READ READ ✓ 一致 SKILL.md:29 - crawl https://example.com/article
文件系统 READ READ ✓ 一致 SKILL.md:33 - extract page.html
命令执行 WRITE WRITE ✓ 一致 SKILL.md:15-16 - npm/golang 安装命令
2 项发现
🔗
中危 外部 URL 外部 URL
https://mineru.net
SKILL.md:4
🔗
中危 外部 URL 外部 URL
https://mineru.net/apiManage/token
SKILL.md:42

目录结构

1 文件 · 2.8 KB · 57 行
Markdown 1f · 57L
└─ 📝 SKILL.md Markdown 57L · 2.8 KB

依赖分析 1 项

包名版本来源已知漏洞备注
mineru-open-api latest npm/go 第三方 CLI 工具,来自 OpenDataLab 官方

安全亮点

✓ 纯文档型技能,无本地脚本代码执行
✓ mineru-open-api 来自上海 AI Lab 官方开源项目,有公开代码仓库
✓ 功能单一明确,权限声明清晰
✓ 无文件系统越权、无凭证收割、无远程代码执行风险
✓ 工具安装命令标准化(npm/go install)