content-workflow-engine Security Report — Trusted | ClawSafe

5 /100

content-workflow-engine

Automate content creation, management, and distribution workflows

内容工作流引擎，声称功能与实际实现一致，无恶意行为发现，代码质量良好。

Skill Namecontent-workflow-engine

Duration37.5s

Enginepi

✓

Safe to install

可安全使用。该技能为合法的内容创作自动化工具，功能完整且无越权操作。

Findings 3 items

Severity	Finding	Location
Low	API配置示例文件包含敏感字段模板 assets/config/api_config.example.json 包含API密钥、密码等占位符，但这是合法的配置示例文件，非实际凭证。 `"api_key": "YOUR_OPENAI_API_KEY"` → 保持现状，这是标准配置示例。建议用户使用时复制到 api_config.json 并填入真实凭证。	`assets/config/api_config.example.json:1`
Info	声明的系统依赖 SKILL.md声明需要curl、git、python3系统工具，这是CLI工具的正常依赖。 `"requires": { "bins": ["curl", "git", "python3"] }` → 无需处理，这是正常的工具声明。	`SKILL.md:7`
Info	外部URL引用文档中引用了外部URL用于示例（WordPress API端点、健康检查等），属于正常功能需要。 `https://yourblog.com/wp-json` → 无需处理，这些是用户需要配置的目标平台地址。	`SKILL.md:234`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	SKILL.md声明文件写入，实际代码在run_workflow.py:162等处实现
Network	`READ`	`READ`	✓ Aligned	SKILL.md声明API集成，实际代码包含API调用占位符
Shell	`NONE`	`READ`	✓ Aligned	index.js调用python3但无直接shell执行
Environment	`NONE`	`NONE`	—	代码未访问os.environ
Skill Invoke	`NONE`	`NONE`	—	无跨skill调用
Clipboard	`NONE`	`NONE`	—	未使用剪贴板API
Browser	`NONE`	`NONE`	—	无浏览器操作
Database	`NONE`	`NONE`	—	无数据库操作

6 findings

🔗

Medium External URL 外部 URL

https://yourblog.com/wp-json

SKILL.md:234

🔗

Medium External URL 外部 URL

https://yourdomain.com/health

assets/config/api_config.example.json:117

📧

Info Email 邮箱地址

[email protected]

CLAWHUB_LISTING.md:282

📧

Info Email 邮箱地址

[email protected]

CLAWHUB_LISTING.md:347

📧

Info Email 邮箱地址

[email protected]

assets/config/api_config.example.json:39

📧

Info Email 邮箱地址

[email protected]

assets/config/api_config.example.json:115

File Tree

16 files · 103.2 KB · 3379 lines

Markdown 6f · 1855L Python 4f · 1135L JSON 5f · 269L JavaScript 1f · 120L

├─ ▾ 📁 assets

│ ├─ ▾ 📁 config

│ │ └─ 📋 api_config.example.json JSON 131L · 3.7 KB

│ └─ ▾ 📁 templates

│ ├─ ▾ 📁 social

│ │ └─ 📋 twitter_template.json JSON 48L · 1.9 KB

│ └─ 📝 blog_template.md Markdown 111L · 2.4 KB

├─ ▾ 📁 references

│ ├─ 📝 scheduled_blog.md Markdown 442L · 10.9 KB

│ └─ 📝 social_multi.md Markdown 558L · 14.0 KB

├─ ▾ 📁 scripts

│ ├─ ▾ 📁 workflow_templates

│ │ └─ 🐍 blog_automated.py Python 319L · 10.6 KB

│ ├─ 🐍 brainstorm.py Python 265L · 10.8 KB

│ ├─ 🐍 create_workflow.py Python 138L · 5.7 KB

│ └─ 🐍 run_workflow.py Python 413L · 15.0 KB

├─ ▾ 📁 test_workflows

│ └─ 📋 test-blog-pipeline.json JSON 60L · 1.1 KB

├─ 📋 _meta.json JSON 5L · 142 B

├─ 📝 CLAWHUB_LISTING.md Markdown 346L · 10.2 KB

├─ 📜 index.js JavaScript 120L · 3.1 KB

├─ 📋 package.json JSON 25L · 604 B

├─ 📝 README.md Markdown 29L · 644 B

└─ 📝 SKILL.md Markdown 369L · 12.6 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`无第三方Python依赖`	`N/A`	pip	No	纯标准库实现
`Node.js标准库`	`内置`	npm	No	仅使用child_process和fs

Security Positives

✓ 代码结构清晰，模块化设计良好

✓ 工作流引擎完整实现了阶段化执行和错误处理

✓ 所有工具实现都是本地模拟，无实际恶意操作

✓ 文档与代码实现一致，无影子功能

✓ 无凭证收割、远程执行或数据外泄行为

✓ 敏感配置使用占位符而非真实凭证

Scan Report

Findings 3 items

File Tree

Dependencies 2 items

Security Positives