md-wechat 安全扫描报告 — 低风险 | ClawSafe

22 /100

md-wechat

将 Markdown 文档转换为微信公众号格式的技能

Legitimate Markdown-to-HTML conversion tool for WeChat official accounts with minor documentation gaps and supply chain concerns but no confirmed malicious behavior.

技能名称md-wechat

分析耗时43.3s

引擎pi

✓

可以安装

Approve for use with standard precautions. Add --no-auto-install flag in untrusted environments and consider pinning dependency versions. The undeclared subprocess auto-install behavior should be documented in SKILL.md.

安全发现 4 项

严重性	安全发现	位置
低危	Auto-install mechanism not declared in SKILL.md 供应链 Both convert.js and convert.py automatically install missing npm/pip packages when auto-install is enabled. This means the skill may silently execute package installations from package.json that are not reviewed by the user. execSync(`npm install ${missing.join(' ')}`, { stdio: 'inherit' }) → Document the auto-install behavior explicitly in SKILL.md. Recommend users use --no-auto-install flag and manually audit package.json before running.	`scripts/convert.js:610`
低危	npm dependencies use unpinned version ranges 供应链 All dependencies in package.json use caret (^) ranges, allowing any minor/patch version update. An attacker compromising the npm registry could serve malicious updates. `"puppeteer": "^22.0.0"` → Pin exact versions (e.g., puppeteer: 22.15.0) to ensure reproducible and secure builds.	`package.json:17`
低危	Puppeteer/headless browser usage not documented 文档欺骗 SKILL.md documents mermaid diagram rendering but does not disclose that it uses Puppeteer with a full headless Chromium browser. This is a heavier capability than expected from a simple text converter. `puppeteer.launch({ headless: 'new', args: ['--no-sandbox', '--disable-setuid-sandbox'] })` → Add Puppeteer and Chromium to the documentation as a required dependency and capability.	`scripts/convert.js:212`
低危	Undeclared network access via CDN 权限提升 The skill fetches external resources from jsDelivr, Aliyun OSS CDN, and CDN npm mirror. SKILL.md does not declare network:READ as an allowed capability. `https://cdn.jsdelivr.net/npm/mermaid/dist/mermaid.min.js` → Declare network:READ in SKILL.md capabilities section or use bundled assets instead of live CDN URLs.	`scripts/convert.js:227`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	SKILL.md: read input markdown file
文件系统	`WRITE`	`WRITE`	✓ 一致	SKILL.md: write output HTML file
网络访问	`NONE`	`READ`	✗ 越权	scripts/convert.js: fetches CDN resources for KaTeX, highlight.js, mermaid; not …
命令执行	`NONE`	`WRITE`	✗ 越权	scripts/convert.js:610 execSync('npm install'); scripts/convert.py:31 subprocess…

175 项发现

🔗

中危外部 URL 外部 URL

https://marked.js.org/

README.md:234

🔗

中危外部 URL 外部 URL

https://katex.org/

README.md:235

🔗

中危外部 URL 外部 URL

https://highlightjs.org/

README.md:236

🔗

中危外部 URL 外部 URL

https://mermaid.js.org/

README.md:237

🔗

中危外部 URL 外部 URL

https://cdn.npmmirror.com/mirrors

SKILL.md:336

🔗

中危外部 URL 外部 URL

https://cdn-doocs.oss-cn-shenzhen.aliyuncs.com/npm/highlightjs/11.11.1/styles/atom-one-dark.min.css

md-config.json:12

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/@babel/code-frame/-/code-frame-7.29.0.tgz

package-lock.json:31

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/@babel/helper-validator-identifier/-/helper-validator-identifier-7.28.5.tgz

package-lock.json:45

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/@jridgewell/gen-mapping/-/gen-mapping-0.3.13.tgz

package-lock.json:54

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/@jridgewell/resolve-uri/-/resolve-uri-3.1.2.tgz

package-lock.json:64

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/@jridgewell/source-map/-/source-map-0.3.11.tgz

package-lock.json:73

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/@jridgewell/sourcemap-codec/-/sourcemap-codec-1.5.5.tgz

package-lock.json:83

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/@jridgewell/trace-mapping/-/trace-mapping-0.3.31.tgz

package-lock.json:89

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/@puppeteer/browsers/-/browsers-2.3.0.tgz

package-lock.json:99

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/@tootallnate/quickjs-emscripten/-/quickjs-emscripten-0.23.0.tgz

package-lock.json:121

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/@types/node/-/node-25.5.0.tgz

package-lock.json:127

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/@types/yauzl/-/yauzl-2.10.3.tgz

package-lock.json:137

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/acorn/-/acorn-8.16.0.tgz

package-lock.json:147

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/agent-base/-/agent-base-7.1.4.tgz

package-lock.json:159

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/ansi-colors/-/ansi-colors-4.1.3.tgz

package-lock.json:168

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/ansi-regex/-/ansi-regex-5.0.1.tgz

package-lock.json:177

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/ansi-styles/-/ansi-styles-4.3.0.tgz

package-lock.json:186

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/argparse/-/argparse-2.0.1.tgz

package-lock.json:201

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/ast-types/-/ast-types-0.13.4.tgz

package-lock.json:207

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/b4a/-/b4a-1.8.0.tgz

package-lock.json:219

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/bare-events/-/bare-events-2.8.2.tgz

package-lock.json:233

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/bare-fs/-/bare-fs-4.5.5.tgz

package-lock.json:247

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/bare-os/-/bare-os-3.7.1.tgz

package-lock.json:271

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/bare-path/-/bare-path-3.0.0.tgz

package-lock.json:280

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/bare-stream/-/bare-stream-2.8.1.tgz

package-lock.json:289

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/bare-url/-/bare-url-2.3.2.tgz

package-lock.json:311

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/base64-js/-/base64-js-1.5.1.tgz

package-lock.json:320

🔗

中危外部 URL 外部 URL

https://www.patreon.com/feross

package-lock.json:329

🔗

中危外部 URL 外部 URL

https://feross.org/support

package-lock.json:333

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/basic-ftp/-/basic-ftp-5.2.0.tgz

package-lock.json:340

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/boolbase/-/boolbase-1.0.0.tgz

package-lock.json:349

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/buffer/-/buffer-5.7.1.tgz

package-lock.json:355

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/buffer-crc32/-/buffer-crc32-0.2.13.tgz

package-lock.json:379

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/buffer-from/-/buffer-from-1.1.2.tgz

package-lock.json:388

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/callsites/-/callsites-3.1.0.tgz

package-lock.json:394

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/camel-case/-/camel-case-4.1.2.tgz

package-lock.json:403

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/chalk/-/chalk-5.6.2.tgz

package-lock.json:413

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/cheerio/-/cheerio-1.0.0-rc.12.tgz

package-lock.json:425

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/cheerio-select/-/cheerio-select-2.1.0.tgz

package-lock.json:446

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/chromium-bidi/-/chromium-bidi-0.6.3.tgz

package-lock.json:463

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/clean-css/-/clean-css-5.3.3.tgz

package-lock.json:477

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/cliui/-/cliui-8.0.1.tgz

package-lock.json:489

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/color-convert/-/color-convert-2.0.1.tgz

package-lock.json:503

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/color-name/-/color-name-1.1.4.tgz

package-lock.json:515

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/commander/-/commander-12.1.0.tgz

package-lock.json:521

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/cosmiconfig/-/cosmiconfig-9.0.1.tgz

package-lock.json:530

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/css-select/-/css-select-5.2.2.tgz

package-lock.json:556

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/css-what/-/css-what-6.2.2.tgz

package-lock.json:572

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/data-uri-to-buffer/-/data-uri-to-buffer-6.0.2.tgz

package-lock.json:584

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/debug/-/debug-4.4.3.tgz

package-lock.json:593

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/degenerator/-/degenerator-5.0.1.tgz

package-lock.json:610

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/devtools-protocol/-/devtools-protocol-0.0.1312386.tgz

package-lock.json:624

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/dom-serializer/-/dom-serializer-2.0.0.tgz

package-lock.json:630

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/domelementtype/-/domelementtype-2.3.0.tgz

package-lock.json:644

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/domhandler/-/domhandler-5.0.3.tgz

package-lock.json:656

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/domutils/-/domutils-3.2.2.tgz

package-lock.json:671

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/dot-case/-/dot-case-3.0.4.tgz

package-lock.json:685

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/emoji-regex/-/emoji-regex-8.0.0.tgz

package-lock.json:695

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/end-of-stream/-/end-of-stream-1.4.5.tgz

package-lock.json:701

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/entities/-/entities-4.5.0.tgz

package-lock.json:710

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/env-paths/-/env-paths-2.2.1.tgz

package-lock.json:722

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/error-ex/-/error-ex-1.3.4.tgz

package-lock.json:731

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/escalade/-/escalade-3.2.0.tgz

package-lock.json:740

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/escape-goat/-/escape-goat-3.0.0.tgz

package-lock.json:749

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/escodegen/-/escodegen-2.1.0.tgz

package-lock.json:761

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/esprima/-/esprima-4.0.1.tgz

package-lock.json:782

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/estraverse/-/estraverse-5.3.0.tgz

package-lock.json:795

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/esutils/-/esutils-2.0.3.tgz

package-lock.json:804

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/events-universal/-/events-universal-1.0.1.tgz

package-lock.json:813

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/extract-zip/-/extract-zip-2.0.1.tgz

package-lock.json:822

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/fast-fifo/-/fast-fifo-1.3.2.tgz

package-lock.json:842

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/fd-slicer/-/fd-slicer-1.1.0.tgz

package-lock.json:848

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/get-caller-file/-/get-caller-file-2.0.5.tgz

package-lock.json:857

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/get-stream/-/get-stream-5.2.0.tgz

package-lock.json:866

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/get-uri/-/get-uri-6.0.5.tgz

package-lock.json:881

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/highlight.js/-/highlight.js-11.11.1.tgz

package-lock.json:895

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/html-minifier-terser/-/html-minifier-terser-7.2.0.tgz

package-lock.json:904

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/commander/-/commander-10.0.1.tgz

package-lock.json:925

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/htmlparser2/-/htmlparser2-8.0.2.tgz

package-lock.json:934

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/http-proxy-agent/-/http-proxy-agent-7.0.2.tgz

package-lock.json:953

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/https-proxy-agent/-/https-proxy-agent-7.0.6.tgz

package-lock.json:966

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/ieee754/-/ieee754-1.2.1.tgz

package-lock.json:979

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/import-fresh/-/import-fresh-3.3.1.tgz

package-lock.json:999

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/ip-address/-/ip-address-10.1.0.tgz

package-lock.json:1015

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/is-arrayish/-/is-arrayish-0.2.1.tgz

package-lock.json:1024

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/is-fullwidth-code-point/-/is-fullwidth-code-point-3.0.0.tgz

package-lock.json:1030

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/js-tokens/-/js-tokens-4.0.0.tgz

package-lock.json:1039

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/js-yaml/-/js-yaml-4.1.1.tgz

package-lock.json:1045

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/json-parse-even-better-errors/-/json-parse-even-better-errors-2.3.1.tgz

package-lock.json:1057

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/juice/-/juice-10.0.1.tgz

package-lock.json:1063

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/commander/-/commander-6.2.1.tgz

package-lock.json:1082

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/katex/-/katex-0.16.38.tgz

package-lock.json:1091

🔗

中危外部 URL 外部 URL

https://opencollective.com/katex

package-lock.json:1094

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/commander/-/commander-8.3.0.tgz

package-lock.json:1107

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/lines-and-columns/-/lines-and-columns-1.2.4.tgz

package-lock.json:1116

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/lower-case/-/lower-case-2.0.2.tgz

package-lock.json:1122

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/lru-cache/-/lru-cache-7.18.3.tgz

package-lock.json:1131

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/marked/-/marked-12.0.2.tgz

package-lock.json:1140

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/marked-highlight/-/marked-highlight-2.2.3.tgz

package-lock.json:1152

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/mensch/-/mensch-0.3.4.tgz

package-lock.json:1161

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/mime/-/mime-2.6.0.tgz

package-lock.json:1167

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/mitt/-/mitt-3.0.1.tgz

package-lock.json:1179

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/ms/-/ms-2.1.3.tgz

package-lock.json:1185

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/netmask/-/netmask-2.0.2.tgz

package-lock.json:1191

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/no-case/-/no-case-3.0.4.tgz

package-lock.json:1200

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/node-fetch/-/node-fetch-2.7.0.tgz

package-lock.json:1210

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/nth-check/-/nth-check-2.1.1.tgz

package-lock.json:1230

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/once/-/once-1.4.0.tgz

package-lock.json:1242

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/pac-proxy-agent/-/pac-proxy-agent-7.2.0.tgz

package-lock.json:1251

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/pac-resolver/-/pac-resolver-7.0.1.tgz

package-lock.json:1270

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/param-case/-/param-case-3.0.4.tgz

package-lock.json:1283

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/parent-module/-/parent-module-1.0.1.tgz

package-lock.json:1293

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/parse-json/-/parse-json-5.2.0.tgz

package-lock.json:1305

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/parse5/-/parse5-7.3.0.tgz

package-lock.json:1323

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/parse5-htmlparser2-tree-adapter/-/parse5-htmlparser2-tree-adapter-7.1.0.tgz

package-lock.json:1335

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/entities/-/entities-6.0.1.tgz

package-lock.json:1348

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/pascal-case/-/pascal-case-3.1.2.tgz

package-lock.json:1360

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/pend/-/pend-1.2.0.tgz

package-lock.json:1370

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/picocolors/-/picocolors-1.1.1.tgz

package-lock.json:1376

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/progress/-/progress-2.0.3.tgz

package-lock.json:1382

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/proxy-agent/-/proxy-agent-6.5.0.tgz

package-lock.json:1391

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/proxy-from-env/-/proxy-from-env-1.1.0.tgz

package-lock.json:1410

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/pump/-/pump-3.0.4.tgz

package-lock.json:1416

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/puppeteer/-/puppeteer-22.15.0.tgz

package-lock.json:1426

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/puppeteer-core/-/puppeteer-core-22.15.0.tgz

package-lock.json:1446

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/relateurl/-/relateurl-0.2.7.tgz

package-lock.json:1462

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/require-directory/-/require-directory-2.1.1.tgz

package-lock.json:1471

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/resolve-from/-/resolve-from-4.0.0.tgz

package-lock.json:1480

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/semver/-/semver-7.7.4.tgz

package-lock.json:1489

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/slick/-/slick-1.12.2.tgz

package-lock.json:1501

🔗

中危外部 URL 外部 URL

http://mootools.net/license.txt

package-lock.json:1503

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/smart-buffer/-/smart-buffer-4.2.0.tgz

package-lock.json:1510

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/socks/-/socks-2.8.7.tgz

package-lock.json:1520

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/socks-proxy-agent/-/socks-proxy-agent-8.0.5.tgz

package-lock.json:1534

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/source-map/-/source-map-0.6.1.tgz

package-lock.json:1548

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/source-map-support/-/source-map-support-0.5.21.tgz

package-lock.json:1557

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/streamx/-/streamx-2.23.0.tgz

package-lock.json:1567

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/string-width/-/string-width-4.2.3.tgz

package-lock.json:1578

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/strip-ansi/-/strip-ansi-6.0.1.tgz

package-lock.json:1592

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/tar-fs/-/tar-fs-3.1.2.tgz

package-lock.json:1604

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/tar-stream/-/tar-stream-3.1.8.tgz

package-lock.json:1618

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/teex/-/teex-1.0.1.tgz

package-lock.json:1630

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/terser/-/terser-5.46.0.tgz

package-lock.json:1639

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/commander/-/commander-2.20.3.tgz

package-lock.json:1657

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/text-decoder/-/text-decoder-1.2.7.tgz

package-lock.json:1663

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/through/-/through-2.3.8.tgz

package-lock.json:1672

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/tr46/-/tr46-0.0.3.tgz

package-lock.json:1678

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/tslib/-/tslib-2.8.1.tgz

package-lock.json:1684

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/unbzip2-stream/-/unbzip2-stream-1.4.3.tgz

package-lock.json:1690

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/undici-types/-/undici-types-7.18.2.tgz

package-lock.json:1700

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/urlpattern-polyfill/-/urlpattern-polyfill-10.0.0.tgz

package-lock.json:1707

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/valid-data-url/-/valid-data-url-3.0.1.tgz

package-lock.json:1713

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/web-resource-inliner/-/web-resource-inliner-6.0.1.tgz

package-lock.json:1722

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/dom-serializer/-/dom-serializer-1.4.1.tgz

package-lock.json:1739

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/domhandler/-/domhandler-4.3.1.tgz

package-lock.json:1753

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/domhandler/-/domhandler-3.3.0.tgz

package-lock.json:1768

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/domutils/-/domutils-2.8.0.tgz

package-lock.json:1783

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/entities/-/entities-2.2.0.tgz

package-lock.json:1812

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/htmlparser2/-/htmlparser2-5.0.1.tgz

package-lock.json:1821

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/webidl-conversions/-/webidl-conversions-3.0.1.tgz

package-lock.json:1836

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/whatwg-url/-/whatwg-url-5.0.0.tgz

package-lock.json:1842

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/wrap-ansi/-/wrap-ansi-7.0.0.tgz

package-lock.json:1852

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/wrappy/-/wrappy-1.0.2.tgz

package-lock.json:1869

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/ws/-/ws-8.19.0.tgz

package-lock.json:1875

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/y18n/-/y18n-5.0.8.tgz

package-lock.json:1896

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/yargs/-/yargs-17.7.2.tgz

package-lock.json:1905

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/yargs-parser/-/yargs-parser-21.1.1.tgz

package-lock.json:1923

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/yauzl/-/yauzl-2.10.0.tgz

package-lock.json:1932

🔗

中危外部 URL 外部 URL

https://registry.npmmirror.com/zod/-/zod-3.23.8.tgz

package-lock.json:1942

🔗

中危外部 URL 外部 URL

http://www.w3.org/2000/svg

scripts/convert.js:383

目录结构

17 文件 · 207.1 KB · 7138 行

JSON 4f · 2067L Markdown 5f · 1630L JavaScript 2f · 1336L Python 1f · 1258L CSS 4f · 847L

├─ ▾ 📁 assets

│ ├─ ▾ 📁 themes

│ │ ├─ 📄 base.css CSS 214L · 4.1 KB

│ │ ├─ 📄 default.css CSS 279L · 5.5 KB

│ │ ├─ 📄 grace.css CSS 177L · 3.3 KB

│ │ └─ 📄 simple.css CSS 177L · 3.6 KB

│ └─ 📦 md-wechat-features.svg 6.2 KB

├─ ▾ 📁 references

│ ├─ 📝 config-reference.md Markdown 400L · 8.2 KB

│ └─ 📝 theme-reference.md Markdown 361L · 9.5 KB

├─ ▾ 📁 scripts

│ ├─ 📜 convert.js JavaScript 984L · 24.3 KB

│ ├─ 🐍 convert.py Python 1258L · 35.4 KB

│ └─ 📜 extract-config.js JavaScript 352L · 9.8 KB

├─ 📋 clawhub.json JSON 44L · 905 B

├─ 📋 md-config.json JSON 37L · 875 B

├─ 📋 package-lock.json JSON 1950L · 69.9 KB

├─ 📋 package.json JSON 36L · 798 B

├─ 📝 README_EN.md Markdown 239L · 6.8 KB

├─ 📝 README.md Markdown 241L · 6.2 KB

└─ 📝 SKILL.md Markdown 389L · 11.8 KB

依赖分析 6 项

包名	版本	来源	已知漏洞	备注
`puppeteer`	`^22.0.0`	npm	否	Version not pinned; includes Chromium browser
`marked`	`^12.0.2`	npm	否	Version not pinned
`highlight.js`	`^11.11.1`	npm	否	Version not pinned
`katex`	`^0.16.38`	npm	否	Version not pinned
`juice`	`^10.0.1`	npm	否	Version not pinned
`chalk`	`^5.6.2`	npm	否	Version not pinned

安全亮点

✓ No credential theft, environment variable harvesting, or sensitive file access observed

✓ No base64 encoding, obfuscation, or anti-analysis techniques detected

✓ No reverse shell, C2 communication, or data exfiltration endpoints found

✓ Code is readable and implements standard markdown-to-HTML conversion

✓ MIT license, no obfuscation, authorship is clear

✓ Auto-install can be disabled with --no-auto-install flag

✓ Puppeteer failures are handled gracefully with fallback to code display