apifox-exporter 安全扫描报告 — 低风险 | ClawSafe

15 /100

apifox-exporter

全自动从 Apifox 导出接口数据并整理成标准格式的文档

Apifox接口导出工具，功能正常，无恶意行为，仅存在轻微依赖管理瑕疵

技能名称apifox-exporter

分析耗时33.5s

引擎pi

✓

可以安装

可安全使用，建议锁定 playwright 版本以减少供应链风险

安全发现 3 项

严重性	安全发现	位置
低危	依赖版本未锁定供应链 playwright 使用 ^1.40.0 版本范围，允许自动升级到 2.x 等大版本，可能引入兼容性问题或安全问题 `"playwright": "^1.40.0"` → 建议改为 "playwright": "1.40.0" 锁定版本	`package.json:13`
提示	硬编码团队和项目名称敏感访问代码中硬编码了 DEFAULT_TEAM_NAME 和 DEFAULT_PROJECT_NAME，这是 Apifox 的业务配置，属于正常业务参数 `const DEFAULT_TEAM_NAME = '媲美智能语音';` → 建议改为从配置文件或环境变量读取，但不影响安全性	`script/auto-export-playwright.js:18`
提示	浏览器登录状态存储敏感访问 chrome-profile/ 目录存储浏览器 Cookie 以实现登录持久化，这是正常功能，但用户应注意该目录的安全 `const PERSISTENT_DIR = path.join(SCRIPT_DIR, 'chrome-profile');` → 确保 chrome-profile 目录权限适当，不要与他人共享	`script/auto-export-playwright.js:59`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	export.js 读取 source.json 并写入 Desktop
网络访问	`READ`	`READ`	✓ 一致	auto-export-playwright.js 使用 Playwright 访问 Apifox 网页
命令执行	`WRITE`	`WRITE`	✓ 一致	auto-export.js 使用 execSync 打开浏览器和调用 node
浏览器	`WRITE`	`WRITE`	✓ 一致	使用 Playwright 进行浏览器自动化操作

3 项发现

🔗

中危外部 URL 外部 URL

https://app.apifox.com/

script/auto-export-playwright.js:15

🔗

中危外部 URL 外部 URL

https://app.apifox.com/main/teams/4037511?tab=project

script/auto-export.js:24

🔗

中危外部 URL 外部 URL

https://app.apifox.com

script/auto-export.js:50

8 文件 · 34.8 KB · 1076 行

JavaScript 3f · 736L Markdown 2f · 190L YAML 1f · 109L JSON 1f · 24L Ignore 1f · 17L

├─ ▾ 📁 script

│ ├─ 📜 auto-export-playwright.js JavaScript 386L · 14.7 KB

│ ├─ 📜 auto-export.js JavaScript 105L · 3.2 KB

│ └─ 📜 export.js JavaScript 245L · 8.8 KB

├─ 📄 .gitignore Ignore 17L · 168 B

├─ 📋 package.json JSON 24L · 561 B

├─ 📝 README.md Markdown 24L · 326 B

├─ 📝 SKILL.md Markdown 166L · 4.2 KB

└─ 📋 skill.yaml YAML 109L · 2.9 KB

包名	版本	来源	已知漏洞	备注
`playwright`	`^1.40.0`	npm	否	版本未锁定，允许自动升级

✓ 代码结构清晰，逻辑简单易懂

✓ 所有文件操作均在声明的权限范围内

✓ 网络访问仅限于 Apifox 官方域名 app.apifox.com

✓ 使用 Playwright 官方库进行浏览器自动化

✓ 支持参数化配置，可指定团队和项目

✓ 登录状态本地存储，不涉及第三方服务