html-markdown Security Report — Trusted | ClawSafe

5 /100

html-markdown

Convert HTML to Markdown using MinerU's document processing engine

纯文档型技能，无执行代码，仅声明依赖外部工具 mineru-open-api 进行 HTML 转 Markdown，功能声明与工具能力一致，未发现恶意行为。

Skill Namehtml-markdown

Duration25.2s

Enginepi

✓

Safe to install

可直接使用。注意：需确保 mineru-open-api 工具来源可信，并妥善保管 MINERU_TOKEN。

Findings 2 items

Severity	Finding	Location
Low	依赖第三方闭源工具技能依赖 mineru-open-api (npm/go 安装)，无源码可审查。工具来源为 OpenDataLab/MinerU-Ecosystem，需自行验证供应链安全。 `npm install -g mineru-open-api` → 建议在隔离环境中测试工具行为，确认无异常网络活动或文件操作	`SKILL.md:12`
Info	Token 凭证依赖需要 MINERU_TOKEN 环境变量，可能需要注册 mineru.net 账户，存在凭证管理风险。 `export MINERU_TOKEN="your-token"` → 使用最小权限 Token，定期轮换，不硬编码在脚本中	`SKILL.md:44`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	SKILL.md:35 输出到目录 -o ./out/
Network	`READ`	`READ`	✓ Aligned	SKILL.md:35 支持 URL 输入: extract https://example.com/doc.html
Shell	`NONE`	`NONE`	—	SKILL.md 仅通过 CLI 工具执行，无内联 shell 代码
Environment	`READ`	`READ`	✓ Aligned	SKILL.md:44 读取 MINERU_TOKEN 环境变量

2 findings

🔗

Medium External URL 外部 URL

https://mineru.net

SKILL.md:4

🔗

Medium External URL 外部 URL

https://mineru.net/apiManage/token

SKILL.md:42

1 files · 3.1 KB · 58 lines

Markdown 1f · 58L

└─ 📝 SKILL.md Markdown 58L · 3.1 KB

Package	Version	Source	Known Vulns	Notes
`mineru-open-api`	`latest`	npm/go	No	外部 CLI 工具，闭源分发，需验证供应链安全

✓ 纯文档型技能，无内联恶意代码

✓ 功能声明清晰，与 CLI 工具能力一致

✓ 无阴影功能（未发现代码与文档不一致）

✓ 无凭证收割、无远程执行、无数据外传

✓ 开源项目 (MinerU)，有公开代码可验证