content-workflow-engine 安全扫描报告 — 可信 | ClawSafe

5 /100

content-workflow-engine

Automate content creation, management, and distribution workflows

内容工作流引擎，声称功能与实际实现一致，无恶意行为发现，代码质量良好。

技能名称content-workflow-engine

分析耗时37.5s

引擎pi

✓

可以安装

可安全使用。该技能为合法的内容创作自动化工具，功能完整且无越权操作。

安全发现 3 项

严重性	安全发现	位置
低危	API配置示例文件包含敏感字段模板 assets/config/api_config.example.json 包含API密钥、密码等占位符，但这是合法的配置示例文件，非实际凭证。 `"api_key": "YOUR_OPENAI_API_KEY"` → 保持现状，这是标准配置示例。建议用户使用时复制到 api_config.json 并填入真实凭证。	`assets/config/api_config.example.json:1`
提示	声明的系统依赖 SKILL.md声明需要curl、git、python3系统工具，这是CLI工具的正常依赖。 `"requires": { "bins": ["curl", "git", "python3"] }` → 无需处理，这是正常的工具声明。	`SKILL.md:7`
提示	外部URL引用文档中引用了外部URL用于示例（WordPress API端点、健康检查等），属于正常功能需要。 `https://yourblog.com/wp-json` → 无需处理，这些是用户需要配置的目标平台地址。	`SKILL.md:234`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	SKILL.md声明文件写入，实际代码在run_workflow.py:162等处实现
网络访问	`READ`	`READ`	✓ 一致	SKILL.md声明API集成，实际代码包含API调用占位符
命令执行	`NONE`	`READ`	✓ 一致	index.js调用python3但无直接shell执行
环境变量	`NONE`	`NONE`	—	代码未访问os.environ
技能调用	`NONE`	`NONE`	—	无跨skill调用
剪贴板	`NONE`	`NONE`	—	未使用剪贴板API
浏览器	`NONE`	`NONE`	—	无浏览器操作
数据库	`NONE`	`NONE`	—	无数据库操作

6 项发现

🔗

中危外部 URL 外部 URL

https://yourblog.com/wp-json

SKILL.md:234

🔗

中危外部 URL 外部 URL

https://yourdomain.com/health

assets/config/api_config.example.json:117

📧

提示邮箱邮箱地址

[email protected]

CLAWHUB_LISTING.md:282

📧

提示邮箱邮箱地址

[email protected]

CLAWHUB_LISTING.md:347

📧

提示邮箱邮箱地址

[email protected]

assets/config/api_config.example.json:39

📧

提示邮箱邮箱地址

[email protected]

assets/config/api_config.example.json:115

目录结构

16 文件 · 103.2 KB · 3379 行

Markdown 6f · 1855L Python 4f · 1135L JSON 5f · 269L JavaScript 1f · 120L

├─ ▾ 📁 assets

│ ├─ ▾ 📁 config

│ │ └─ 📋 api_config.example.json JSON 131L · 3.7 KB

│ └─ ▾ 📁 templates

│ ├─ ▾ 📁 social

│ │ └─ 📋 twitter_template.json JSON 48L · 1.9 KB

│ └─ 📝 blog_template.md Markdown 111L · 2.4 KB

├─ ▾ 📁 references

│ ├─ 📝 scheduled_blog.md Markdown 442L · 10.9 KB

│ └─ 📝 social_multi.md Markdown 558L · 14.0 KB

├─ ▾ 📁 scripts

│ ├─ ▾ 📁 workflow_templates

│ │ └─ 🐍 blog_automated.py Python 319L · 10.6 KB

│ ├─ 🐍 brainstorm.py Python 265L · 10.8 KB

│ ├─ 🐍 create_workflow.py Python 138L · 5.7 KB

│ └─ 🐍 run_workflow.py Python 413L · 15.0 KB

├─ ▾ 📁 test_workflows

│ └─ 📋 test-blog-pipeline.json JSON 60L · 1.1 KB

├─ 📋 _meta.json JSON 5L · 142 B

├─ 📝 CLAWHUB_LISTING.md Markdown 346L · 10.2 KB

├─ 📜 index.js JavaScript 120L · 3.1 KB

├─ 📋 package.json JSON 25L · 604 B

├─ 📝 README.md Markdown 29L · 644 B

└─ 📝 SKILL.md Markdown 369L · 12.6 KB

依赖分析 2 项

包名	版本	来源	已知漏洞	备注
`无第三方Python依赖`	`N/A`	pip	否	纯标准库实现
`Node.js标准库`	`内置`	npm	否	仅使用child_process和fs

安全亮点

✓ 代码结构清晰，模块化设计良好

✓ 工作流引擎完整实现了阶段化执行和错误处理

✓ 所有工具实现都是本地模拟，无实际恶意操作

✓ 文档与代码实现一致，无影子功能

✓ 无凭证收割、远程执行或数据外泄行为

✓ 敏感配置使用占位符而非真实凭证