扫描报告
5 /100
wechat-mp-xk
微信公众号发布工具 - Markdown转HTML并发布到草稿箱
标准微信公众号文章发布工具,仅与微信官方API通信,凭证仅用于获取access_token,无恶意行为
可以安装
该技能安全可信,可正常使用
安全发现 2 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 低危 | 依赖包版本未严格锁定 供应链 | package.json:29 |
| 低危 | Token缓存到全局可读目录 敏感访问 | wechat_mp_xk.py:25 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 文件系统 | READ | WRITE | ✓ 一致 | wechat_mp_xk.py:161,174 读写本地HTML/图片文件 |
| 网络访问 | READ | READ | ✓ 一致 | wechat_mp_xk.py:44,205,235 仅请求api.weixin.qq.com官方API |
| 命令执行 | NONE | NONE | — | 无subprocess/os.system调用 |
| 环境变量 | READ | READ | ✓ 一致 | wechat_mp_xk.py:23-24 仅读取WX_APPID/WX_SECRET |
11 项发现
中危 外部 URL 外部 URL
https://img.shields.io/badge/License-MIT-yellow.svg README.md:3 中危 外部 URL 外部 URL
https://opensource.org/licenses/MIT README.md:3 中危 外部 URL 外部 URL
https://img.shields.io/badge/python-3.8+-blue.svg README.md:4 中危 外部 URL 外部 URL
https://www.python.org/downloads/ README.md:4 中危 外部 URL 外部 URL
https://img.shields.io/badge/clawhub-wechat--mp--xk-green.svg README.md:5 中危 外部 URL 外部 URL
https://clawhub.ai README.md:5 中危 外部 URL 外部 URL
https://img.shields.io/badge/version-1.3.0-blue.svg README.md:6 中危 外部 URL 外部 URL
https://api.weixin.qq.com/cgi-bin/stable_token wechat_mp_xk.py:44 中危 外部 URL 外部 URL
https://api.weixin.qq.com/cgi-bin/material/add_material?access_token= wechat_mp_xk.py:205 中危 外部 URL 外部 URL
https://api.weixin.qq.com/cgi-bin/draft/add?access_token= wechat_mp_xk.py:235 中危 外部 URL 外部 URL
https://mp.weixin.qq.com wechat_mp_xk.py:389 目录结构
4 文件 · 27.3 KB · 926 行 Python 1f · 488L
Markdown 2f · 401L
JSON 1f · 37L
├─
package.json
JSON
├─
README.md
Markdown
├─
SKILL.md
Markdown
└─
wechat_mp_xk.py
Python
依赖分析 1 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
requests | >=2.28.0 | pip | 否 | 无版本锁定,存在接受任意更新版本的风险 |
安全亮点
✓ 凭证管理规范:仅使用环境变量,不硬编码
✓ 仅与微信官方API通信,无第三方请求
✓ 无shell执行,无代码注入风险
✓ 无凭证外传,凭证仅用于获取access_token
✓ 无敏感路径访问(无~/.ssh/.aws等)
✓ 无Base64/eval等危险函数
✓ 代码结构清晰,功能与文档一致