html-markdown 安全扫描报告 — 可信 | ClawSafe

5 /100

html-markdown

Convert HTML to Markdown using MinerU's document processing engine

纯文档型技能，无执行代码，仅声明依赖外部工具 mineru-open-api 进行 HTML 转 Markdown，功能声明与工具能力一致，未发现恶意行为。

技能名称html-markdown

分析耗时25.2s

引擎pi

✓

可以安装

可直接使用。注意：需确保 mineru-open-api 工具来源可信，并妥善保管 MINERU_TOKEN。

安全发现 2 项

严重性	安全发现	位置
低危	依赖第三方闭源工具技能依赖 mineru-open-api (npm/go 安装)，无源码可审查。工具来源为 OpenDataLab/MinerU-Ecosystem，需自行验证供应链安全。 `npm install -g mineru-open-api` → 建议在隔离环境中测试工具行为，确认无异常网络活动或文件操作	`SKILL.md:12`
提示	Token 凭证依赖需要 MINERU_TOKEN 环境变量，可能需要注册 mineru.net 账户，存在凭证管理风险。 `export MINERU_TOKEN="your-token"` → 使用最小权限 Token，定期轮换，不硬编码在脚本中	`SKILL.md:44`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	SKILL.md:35 输出到目录 -o ./out/
网络访问	`READ`	`READ`	✓ 一致	SKILL.md:35 支持 URL 输入: extract https://example.com/doc.html
命令执行	`NONE`	`NONE`	—	SKILL.md 仅通过 CLI 工具执行，无内联 shell 代码
环境变量	`READ`	`READ`	✓ 一致	SKILL.md:44 读取 MINERU_TOKEN 环境变量

2 项发现

🔗

中危外部 URL 外部 URL

https://mineru.net

SKILL.md:4

🔗

中危外部 URL 外部 URL

https://mineru.net/apiManage/token

SKILL.md:42

1 文件 · 3.1 KB · 58 行

Markdown 1f · 58L

└─ 📝 SKILL.md Markdown 58L · 3.1 KB

包名	版本	来源	已知漏洞	备注
`mineru-open-api`	`latest`	npm/go	否	外部 CLI 工具，闭源分发，需验证供应链安全

✓ 纯文档型技能，无内联恶意代码

✓ 功能声明清晰，与 CLI 工具能力一致

✓ 无阴影功能（未发现代码与文档不一致）

✓ 无凭证收割、无远程执行、无数据外传

✓ 开源项目 (MinerU)，有公开代码可验证