excel-ai-analyzer 安全扫描报告 — 可信 | ClawSafe

5 /100

excel-ai-analyzer

智能 Excel 数据分析技能 - 自动分析、统计、报告生成

This is a clean, legitimate Excel analysis skill with no malicious indicators. All functionality is declared in SKILL.md, code is readable with no obfuscation, and no sensitive resource access is performed.

技能名称excel-ai-analyzer

分析耗时29.2s

引擎pi

✓

可以安装

This skill is safe to use. Optionally pin the xlsx dependency to a specific version for reproducibility.

安全发现 1 项

严重性	安全发现	位置
低危	Dependency version not pinned 供应链 xlsx dependency uses caret range ^0.18.5 instead of exact version `"xlsx": "^0.18.5"` → Pin to exact version (0.18.5) for reproducible builds	`package.json:15`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	index.js:14 - fs.existsSync and XLSX.readFile for Excel parsing
网络访问	`NONE`	`NONE`	—	No network requests found
命令执行	`NONE`	`NONE`	—	No subprocess or shell execution found
环境变量	`NONE`	`NONE`	—	No environment variable access found
技能调用	`EXECUTE`	`EXECUTE`	✓ 一致	index.js:180 - module.exports.execute()

9 项发现

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/adler-32/-/adler-32-1.3.1.tgz

package-lock.json:17

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/cfb/-/cfb-1.2.2.tgz

package-lock.json:26

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/codepage/-/codepage-1.15.0.tgz

package-lock.json:39

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/crc-32/-/crc-32-1.2.2.tgz

package-lock.json:48

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/frac/-/frac-1.1.2.tgz

package-lock.json:60

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/ssf/-/ssf-0.11.2.tgz

package-lock.json:69

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/wmf/-/wmf-1.0.2.tgz

package-lock.json:81

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/word/-/word-0.3.0.tgz

package-lock.json:90

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/xlsx/-/xlsx-0.18.5.tgz

package-lock.json:99

目录结构

8 文件 · 20.2 KB · 763 行

JavaScript 2f · 356L Markdown 4f · 267L JSON 2f · 140L

├─ 📜 index.js JavaScript 256L · 7.5 KB

├─ 📋 package-lock.json JSON 119L · 3.7 KB

├─ 📋 package.json JSON 21L · 394 B

├─ 📝 PUBLISH_CHECKLIST.md Markdown 84L · 1.7 KB

├─ 📝 README.md Markdown 87L · 1.7 KB

├─ 📝 SKILL.md Markdown 47L · 1006 B

├─ 📝 test-report.md Markdown 49L · 1.1 KB

└─ 📜 test.js JavaScript 100L · 3.2 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`xlsx`	`0.18.5`	npm	否	Caret range ^0.18.5 - recommend exact pin

安全亮点

✓ All functionality explicitly declared in SKILL.md - no hidden behavior

✓ No network requests, shell execution, or credential access

✓ Clean, readable code with no obfuscation or base64 encoding

✓ No sensitive path access (~/.ssh, ~/.aws, .env)

✓ Standard xlsx library for Excel parsing - well-known, audited dependency

✓ No C2 communication, reverse shells, or data exfiltration

✓ Only legitimate filesystem:READ for file path operations