中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:8 hr ago Rescan
5 /100
wechat-mp-xk
微信公众号发布工具 - Markdown转HTML并发布到草稿箱
标准微信公众号文章发布工具,仅与微信官方API通信,凭证仅用于获取access_token,无恶意行为
Skill Namewechat-mp-xk
Duration46.6s
Enginepi
Safe to install
该技能安全可信,可正常使用

Findings 2 items

Severity Finding Location
Low
依赖包版本未严格锁定 Supply Chain
package.json中requests使用>=2.28.0软约束,存在接受任意更新版本的风险
"requests": ">=2.28.0"
→ 建议固定版本如 requests==2.31.0
 package.json:29
Low
Token缓存到全局可读目录 Sensitive Access
access_token缓存到/tmp/wechat_token.json,该目录在多用户系统可能可被其他用户读取
TOKEN_FILE = '/tmp/wechat_token.json'
→ 建议使用~/.local/share/wechat_token.json或添加0600权限限制
 wechat_mp_xk.py:25
ResourceDeclaredInferredStatusEvidence
Filesystem READ WRITE ✓ Aligned wechat_mp_xk.py:161,174 读写本地HTML/图片文件
Network READ READ ✓ Aligned wechat_mp_xk.py:44,205,235 仅请求api.weixin.qq.com官方API
Shell NONE NONE 无subprocess/os.system调用
Environment READ READ ✓ Aligned wechat_mp_xk.py:23-24 仅读取WX_APPID/WX_SECRET
11 findings
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/License-MIT-yellow.svg
README.md:3
🔗
Medium External URL 外部 URL
https://opensource.org/licenses/MIT
README.md:3
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/python-3.8+-blue.svg
README.md:4
🔗
Medium External URL 外部 URL
https://www.python.org/downloads/
README.md:4
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/clawhub-wechat--mp--xk-green.svg
README.md:5
🔗
Medium External URL 外部 URL
https://clawhub.ai
README.md:5
🔗
Medium External URL 外部 URL
https://img.shields.io/badge/version-1.3.0-blue.svg
README.md:6
🔗
Medium External URL 外部 URL
https://api.weixin.qq.com/cgi-bin/stable_token
wechat_mp_xk.py:44
🔗
Medium External URL 外部 URL
https://api.weixin.qq.com/cgi-bin/material/add_material?access_token=
wechat_mp_xk.py:205
🔗
Medium External URL 外部 URL
https://api.weixin.qq.com/cgi-bin/draft/add?access_token=
wechat_mp_xk.py:235
🔗
Medium External URL 外部 URL
https://mp.weixin.qq.com
wechat_mp_xk.py:389

File Tree

4 files · 27.3 KB · 926 lines
Python 1f · 488L Markdown 2f · 401L JSON 1f · 37L
├─ 📋 package.json JSON 37L · 899 B
├─ 📝 README.md Markdown 187L · 4.0 KB
├─ 📝 SKILL.md Markdown 214L · 4.5 KB
└─ 🐍 wechat_mp_xk.py Python 488L · 17.8 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
requests >=2.28.0 pip No 无版本锁定,存在接受任意更新版本的风险

Security Positives

✓ 凭证管理规范:仅使用环境变量,不硬编码
✓ 仅与微信官方API通信,无第三方请求
✓ 无shell执行,无代码注入风险
✓ 无凭证外传,凭证仅用于获取access_token
✓ 无敏感路径访问(无~/.ssh/.aws等)
✓ 无Base64/eval等危险函数
✓ 代码结构清晰,功能与文档一致