中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:10 小时前 重新扫描
5 /100
wip-xai-x
X Platform API. Read posts, search tweets, get bookmarks, post tweets, upload media.
官方 X Platform API 集成工具,代码行为与文档完全一致,无恶意行为,仅使用 execSync 调用 1Password CLI 读取凭证(为声明的合法功能)
技能名称wip-xai-x
分析耗时52.0s
引擎pi
可以安装
可安全使用
资源类型声明权限推断权限状态证据
文件系统 READ READ ✓ 一致 core.mjs:5 readFileSync 仅用于 media upload 场景,SKILL.md 声明 'upload_media: 上传图片/视频'
网络访问 WRITE WRITE ✓ 一致 所有网络请求仅发送至 api.x.com,核心功能为 X Platform API 读写
命令执行 NONE NONE execSync 仅用于 op read(1Password CLI),读取凭证而非执行命令
环境变量 READ READ ✓ 一致 auth.mjs:55-59 读取 X_BEARER_TOKEN 等环境变量,为声明的凭证来源
1 高危 12 项发现
🔑
高危 API 密钥 疑似硬编码凭证
ACCESS_TOKEN="your-access-token"
README.md:42
🔗
中危 外部 URL 外部 URL
https://developer.x.com/en/portal/dashboard
README.md:46
🔗
中危 外部 URL 外部 URL
https://x.com/parkertoddbrooks/status/123456
README.md:54
🔗
中危 外部 URL 外部 URL
https://x.com/user/status/123
README.md:75
🔗
中危 外部 URL 外部 URL
https://x.com/i/status/$
README.md:87
🔗
中危 外部 URL 外部 URL
https://api.x.com/2
SKILL.md:8
🔗
中危 外部 URL 外部 URL
https://docs.x.com/x-api
SKILL.md:163
🔗
中危 外部 URL 外部 URL
https://docs.x.com/resources/authentication
SKILL.md:165
🔗
中危 外部 URL 外部 URL
https://x.com/user/status/123456
core.mjs:47
🔗
中危 外部 URL 外部 URL
https://twitter.com/user/status/123
core.mjs:252
🔗
中危 外部 URL 外部 URL
https://opencollective.com/express
package-lock.json:155
🔗
中危 外部 URL 外部 URL
https://opencollective.com/fastify
package-lock.json:466

目录结构

13 文件 · 72.3 KB · 2283 行
JSON 2f · 1198L JavaScript 4f · 709L Markdown 7f · 376L
├─ 📁 _trash
│ ├─ 📝 RELEASE-NOTES-v1-0-3.md Markdown 7L · 183 B
│ └─ 📝 RELEASE-NOTES-v1-0-4.md Markdown 10L · 347 B
├─ 📁 ai
│ └─ 📁 todos
│ ├─ 📝 PUNCHLIST 2.md Markdown 3L · 34 B
│ └─ 📝 PUNCHLIST.md Markdown 3L · 34 B
├─ 📜 auth.mjs JavaScript 87L · 2.9 KB
├─ 📝 CHANGELOG.md Markdown 37L · 891 B
├─ 📜 cli.mjs JavaScript 191L · 6.2 KB
├─ 📜 core.mjs JavaScript 267L · 7.9 KB
├─ 📜 mcp-server.mjs JavaScript 164L · 4.7 KB
├─ 📋 package-lock.json JSON 1160L · 39.9 KB
├─ 📋 package.json JSON 38L · 916 B
├─ 📝 README.md Markdown 151L · 4.0 KB
└─ 📝 SKILL.md Markdown 165L · 4.3 KB

依赖分析 2 项

包名版本来源已知漏洞备注
@xdevplatform/xdk ^0.4.0 npm 官方 X TypeScript SDK,MIT 许可证
@modelcontextprotocol/sdk ^1.27.1 npm 标准 MCP 协议 SDK

安全亮点

✓ 使用官方 @xdevplatform/xdk SDK,非自制凭证处理逻辑
✓ SKILL.md 文档完整,声明了所有 10 个函数及其用途
✓ 代码与文档完全一致,无阴影功能(shadow functionality)
✓ 凭证仅用于 X API 认证,无外传行为
✓ 网络请求仅指向 api.x.com(官方 X API 端点)
✓ 文件读取仅用于媒体上传功能,且需用户显式传入 file_path 参数
✓ MCP Server 实现标准规范,使用官方 SDK