中文 EN

扫描报告

扫描新文件

可信 — 风险评分 10/100
上次扫描:5 小时前 重新扫描
10 /100
crossborder-ecom-hub
跨境电商多平台管理技能 - TikTok+Amazon+Shopee+Lazada 统一管理
这是一个合法的跨境电商多平台管理技能,功能声明与实际实现一致,无恶意行为发现
技能名称crossborder-ecom-hub
分析耗时43.8s
引擎pi
ClawHub Crossborder Ecom Hub v1.0.1 by lvjunjie-byte
📥 194 📦 1 ⭐ 1
ClawHub 判定 可疑 env_credential_accessllm_suspicious
可以安装
可安全使用

安全发现 1 项

严重性 安全发现 位置
低危
node-fetch 依赖无版本锁定 供应链
package.json 中 node-fetch 使用 ^3.3.2 版本前缀,可能拉取包含破坏性变更的次版本更新
"node-fetch": "^3.3.2"
→ 建议使用精确版本号 "3.3.2" 或锁定补丁版本 "~3.3.2"
 package.json:20
资源类型声明权限推断权限状态证据
文件系统 READ WRITE ✓ 一致 bin/cli.js:140 创建 ~/.crossborder-ecom/config.json
网络访问 READ READ ✓ 一致 src/platforms/index.js 调用各平台官方 API
命令执行 NONE NONE 无 shell 执行代码
环境变量 READ READ ✓ 一致 src/feishu.js:15 读取 FEISHU_APP_ID 等环境变量
技能调用 NONE NONE 无跨技能调用
21 项发现
🔗
中危 外部 URL 外部 URL
https://partner.tiktokshop.com/
DEVELOPMENT_SUMMARY.md:282
🔗
中危 外部 URL 外部 URL
https://developer.amazon.com/sp-api
DEVELOPMENT_SUMMARY.md:283
🔗
中危 外部 URL 外部 URL
https://open.shopee.com/
DEVELOPMENT_SUMMARY.md:284
🔗
中危 外部 URL 外部 URL
https://open.lazada.com/
DEVELOPMENT_SUMMARY.md:285
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/
DEVELOPMENT_SUMMARY.md:286
🔗
中危 外部 URL 外部 URL
https://clawhub.com/skills/crossborder-ecom-hub
DEVELOPMENT_SUMMARY.md:304
🔗
中危 外部 URL 外部 URL
https://clawhub.com/skills/crossborder-ecom-hub/docs
DEVELOPMENT_SUMMARY.md:306
🔗
中危 外部 URL 外部 URL
https://img.shields.io/npm/v/crossborder-ecom-hub.svg
README.md:5
🔗
中危 外部 URL 外部 URL
https://www.npmjs.com/package/crossborder-ecom-hub
README.md:5
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/license-Commercial-blue.svg
README.md:6
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/node-%3E%3D18.0.0-brightgreen.svg
README.md:7
🔗
中危 外部 URL 外部 URL
https://nodejs.org/
README.md:7
🔗
中危 外部 URL 外部 URL
https://clawhub.com/skills/crossborder-ecom-hub/docs\n
demo.js:165
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal
src/feishu.js:28
🔗
中危 外部 URL 外部 URL
https://open.feishu.cn/open-apis/bitable/v1/apps/$
src/feishu.js:292
🔗
中危 外部 URL 外部 URL
https://open-api.tiktokglobalshop.com
src/platforms/index.js:30
🔗
中危 外部 URL 外部 URL
https://sellingpartnerapi-na.amazon.com
src/platforms/index.js:61
🔗
中危 外部 URL 外部 URL
https://partner.shopeemobile.com
src/platforms/index.js:92
🔗
中危 外部 URL 外部 URL
https://api.lazada.com
src/platforms/index.js:123
📧
提示 邮箱 邮箱地址
[email protected]
DEVELOPMENT_SUMMARY.md:307
📧
提示 邮箱 邮箱地址
[email protected]
config.example.json:49

目录结构

21 文件 · 114.6 KB · 4187 行
JavaScript 15f · 2901L Markdown 3f · 1082L JSON 3f · 204L
├─ 📁 bin
│ └─ 📜 cli.js JavaScript 203L · 6.6 KB
├─ 📁 commands
│ ├─ 📜 inventory.js JavaScript 115L · 3.9 KB
│ ├─ 📜 order.js JavaScript 116L · 3.7 KB
│ ├─ 📜 platform.js JavaScript 136L · 4.6 KB
│ ├─ 📜 pricing.js JavaScript 119L · 4.3 KB
│ ├─ 📜 report.js JavaScript 161L · 6.0 KB
│ └─ 📜 sync.js JavaScript 110L · 3.6 KB
├─ 📁 src
│ ├─ 📁 platforms
│ │ └─ 📜 index.js JavaScript 384L · 10.4 KB
│ ├─ 📜 feishu.js JavaScript 395L · 11.0 KB
│ ├─ 📜 index.js JavaScript 39L · 782 B
│ ├─ 📜 inventory.js JavaScript 212L · 5.1 KB
│ ├─ 📜 orders.js JavaScript 163L · 4.1 KB
│ ├─ 📜 pricing.js JavaScript 227L · 6.3 KB
│ └─ 📜 reports.js JavaScript 311L · 8.8 KB
├─ 📋 clawhub.json JSON 97L · 2.2 KB
├─ 📋 config.example.json JSON 62L · 1.4 KB
├─ 📜 demo.js JavaScript 210L · 7.0 KB
├─ 📝 DEVELOPMENT_SUMMARY.md Markdown 324L · 8.0 KB
├─ 📋 package.json JSON 45L · 933 B
├─ 📝 README.md Markdown 425L · 9.4 KB
└─ 📝 SKILL.md Markdown 333L · 6.4 KB

依赖分析 7 项

包名版本来源已知漏洞备注
axios ^1.6.0 npm 主流 HTTP 库,信誉良好
commander ^11.1.0 npm CLI 框架首选,信誉良好
dotenv ^16.3.1 npm 环境变量加载库,信誉良好
node-fetch ^3.3.2 npm 使用 ^ 前缀,无版本锁定,存在轻微风险
chalk ^5.3.0 npm 终端美化库,信誉良好
ora ^7.0.1 npm 加载动画库,信誉良好
dayjs ^1.11.10 npm 日期处理库,信誉良好

安全亮点

✓ 功能声明与实际实现完全一致,无阴影功能
✓ 使用官方 API 端点,无可疑网络请求
✓ 无 shell 执行、eval、base64 解码等高危操作
✓ 代码结构清晰,模块化设计良好
✓ 配置文件存储在用户目录 ~/.crossborder-ecom/
✓ 支持环境变量配置敏感信息
✓ 依赖来自 npm 官方仓库,信誉良好