中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
douyin-comment-auto-reply
抖音评论自动回复工作流,支持评论意图分类、回复草稿生成、浏览器自动化执行
合法的抖音评论自动回复技能,仅涉及 CSV 分类生成和浏览器自动化执行,无恶意行为。
技能名称douyin-comment-auto-reply
分析耗时43.7s
引擎pi
可以安装
无需封禁,可正常使用。注意 browser_reply_runner.py 依赖外部 agent-browser CLI,需确保该工具可信。

安全发现 2 项

严重性 安全发现 位置
低危
外部工具依赖无版本锁定
browser_reply_runner.py 默认使用 'npx -y agent-browser',未指定版本或包名,可能拉取非预期版本。
--browser-cmd default="npx -y agent-browser"
→ 建议在文档中明确 agent-browser 的可信来源版本,或使用固定版本号(如 [email protected]
 scripts/browser_reply_runner.py:22
提示
dry-run 模式存在但未在文档强调
browser_reply_runner.py 支持 --dry-run,但 SKILL.md 未明确建议首次运行使用 dry-run 验证。
p.add_argument("--dry-run", action="store_true")
→ 建议在 SKILL.md 执行示例中明确加入 dry-run 步骤作为安全最佳实践
 scripts/browser_reply_runner.py:14
资源类型声明权限推断权限状态证据
文件系统 WRITE WRITE ✓ 一致 SKILL.md:声明读写用户CSV和JSON文件;batch_comment_drafts.py:9,19-20读写文件;browser_reply_runn…
网络访问 READ READ ✓ 一致 SKILL.md:185 声明访问抖音创作者后台;browser_reply_runner.py:43-44 调用 agent-browser 打开 URL
命令执行 WRITE WRITE ✓ 一致 SKILL.md:179-197 声明使用 agent-browser CLI;browser_reply_runner.py:18 subprocess.ru…
环境变量 NONE NONE 全代码库无 os.environ 访问
浏览器 WRITE WRITE ✓ 一致 SKILL.md:180-196 声明浏览器自动化;browser_reply_runner.py:44-59 fill/click 操作
1 项发现
🔗
中危 外部 URL 外部 URL
https://creator.douyin.com/creator-micro/content/manage
SKILL.md:186

目录结构

11 文件 · 24.3 KB · 751 行
Markdown 5f · 498L Python 2f · 171L JSON 3f · 77L CSV 1f · 5L
├─ 📁 references
│ ├─ 📝 automation-roadmap.md Markdown 63L · 1.7 KB
│ ├─ 📝 douyin-lead-gen-template.md Markdown 66L · 1.6 KB
│ └─ 📝 playbook.md Markdown 134L · 3.7 KB
├─ 📁 scripts
│ ├─ 🐍 batch_comment_drafts.py Python 96L · 4.0 KB
│ ├─ 🐍 browser_reply_runner.py Python 75L · 3.0 KB
│ ├─ 📄 comment_batch_template.csv CSV 5L · 333 B
│ ├─ 📋 comment_batch_template.drafts.json JSON 41L · 1.5 KB
│ ├─ 📋 comment_batch_template.drafts.sent-log.json JSON 16L · 566 B
│ ├─ 📋 reply_drafts_example.json JSON 20L · 778 B
│ └─ 📝 reply_execution_plan.md Markdown 26L · 761 B
└─ 📝 SKILL.md Markdown 209L · 6.3 KB

依赖分析 1 项

包名版本来源已知漏洞备注
无第三方依赖 N/A stdlib only batch_comment_drafts.py 仅用 csv,json,re,sys,pathlib;browser_reply_runner.py 仅用 argparse,json,shlex,subprocess,sys,time,pathlib

安全亮点

✓ batch_comment_drafts.py 仅使用 Python 标准库,无第三方依赖,无网络请求
✓ browser_reply_runner.py 使用 shlex.quote() 对用户输入进行 shell 转义,防止命令注入
✓ SKILL.md 完整声明了两个脚本的功能、参数和用法,无影子功能
✓ browser_reply_runner.py 支持 --dry-run 模式,可安全预览操作
✓ 代码逻辑清晰,为抖音评论场景的文本分类和模板回复生成,无越权操作
✓ 全代码库无 base64/eval/环境变量遍历/敏感路径访问等高危指标
✓ 无凭证收割、无数据外传、无隐藏逻辑