wip-xai-x Security Report — Trusted | ClawSafe

5 /100

wip-xai-x

X Platform API. Read posts, search tweets, get bookmarks, post tweets, upload media.

官方 X Platform API 集成工具，代码行为与文档完全一致，无恶意行为，仅使用 execSync 调用 1Password CLI 读取凭证（为声明的合法功能）

Skill Namewip-xai-x

Duration52.0s

Enginepi

✓

Safe to install

可安全使用

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	core.mjs:5 readFileSync 仅用于 media upload 场景，SKILL.md 声明 'upload_media: 上传图片/视频'
Network	`WRITE`	`WRITE`	✓ Aligned	所有网络请求仅发送至 api.x.com，核心功能为 X Platform API 读写
Shell	`NONE`	`NONE`	—	execSync 仅用于 op read（1Password CLI），读取凭证而非执行命令
Environment	`READ`	`READ`	✓ Aligned	auth.mjs:55-59 读取 X_BEARER_TOKEN 等环境变量，为声明的凭证来源

1 High 12 findings

🔑

High API Key 疑似硬编码凭证

ACCESS_TOKEN="your-access-token"

README.md:42

🔗

Medium External URL 外部 URL

https://developer.x.com/en/portal/dashboard

README.md:46

🔗

Medium External URL 外部 URL

https://x.com/parkertoddbrooks/status/123456

README.md:54

🔗

Medium External URL 外部 URL

https://x.com/user/status/123

README.md:75

🔗

Medium External URL 外部 URL

https://x.com/i/status/$

README.md:87

🔗

Medium External URL 外部 URL

https://api.x.com/2

SKILL.md:8

🔗

Medium External URL 外部 URL

https://docs.x.com/x-api

SKILL.md:163

🔗

Medium External URL 外部 URL

https://docs.x.com/resources/authentication

SKILL.md:165

🔗

Medium External URL 外部 URL

https://x.com/user/status/123456

core.mjs:47

🔗

Medium External URL 外部 URL

https://twitter.com/user/status/123

core.mjs:252

🔗

Medium External URL 外部 URL

https://opencollective.com/express

package-lock.json:155

🔗

Medium External URL 外部 URL

https://opencollective.com/fastify

package-lock.json:466

File Tree

13 files · 72.3 KB · 2283 lines

JSON 2f · 1198L JavaScript 4f · 709L Markdown 7f · 376L

├─ ▾ 📁 _trash

│ ├─ 📝 RELEASE-NOTES-v1-0-3.md Markdown 7L · 183 B

│ └─ 📝 RELEASE-NOTES-v1-0-4.md Markdown 10L · 347 B

├─ ▾ 📁 ai

│ └─ ▾ 📁 todos

│ ├─ 📝 PUNCHLIST 2.md Markdown 3L · 34 B

│ └─ 📝 PUNCHLIST.md Markdown 3L · 34 B

├─ 📜 auth.mjs JavaScript 87L · 2.9 KB

├─ 📝 CHANGELOG.md Markdown 37L · 891 B

├─ 📜 cli.mjs JavaScript 191L · 6.2 KB

├─ 📜 core.mjs JavaScript 267L · 7.9 KB

├─ 📜 mcp-server.mjs JavaScript 164L · 4.7 KB

├─ 📋 package-lock.json JSON 1160L · 39.9 KB

├─ 📋 package.json JSON 38L · 916 B

├─ 📝 README.md Markdown 151L · 4.0 KB

└─ 📝 SKILL.md Markdown 165L · 4.3 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`@xdevplatform/xdk`	`^0.4.0`	npm	No	官方 X TypeScript SDK，MIT 许可证
`@modelcontextprotocol/sdk`	`^1.27.1`	npm	No	标准 MCP 协议 SDK

Security Positives

✓ 使用官方 @xdevplatform/xdk SDK，非自制凭证处理逻辑

✓ SKILL.md 文档完整，声明了所有 10 个函数及其用途

✓ 代码与文档完全一致，无阴影功能（shadow functionality）

✓ 凭证仅用于 X API 认证，无外传行为

✓ 网络请求仅指向 api.x.com（官方 X API 端点）

✓ 文件读取仅用于媒体上传功能，且需用户显式传入 file_path 参数

✓ MCP Server 实现标准规范，使用官方 SDK

Scan Report

File Tree

Dependencies 2 items

Security Positives