Name: auto-free-banana Security Report — Low Risk | ClawSafe
Item: auto-free-banana
Rating: 80
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

20 /100

auto-free-banana

Google Flow UI客户端 - 通过Chrome CDP自动化在labs.google/fx生成图像

Google Flow UI自动化工具，通过Chrome CDP实现图像生成。代码结构清晰，凭证管理规范，无恶意行为迹象。主要风险来自CDP Runtime.evaluate的固有灵活性，但与声明的UI自动化目的相符。

Skill Nameauto-free-banana

Duration45.8s

Enginepi

ClawHub Auto Free Banana v1.0.0 by liujuntao123

📥 179 ⭐ 1

ClawHub Verdict Suspicious dangerous_execenv_credential_accessvt_suspicious

✓

Safe to install

可用。确认执行环境为Chrome CDP沙箱内，风险可控。

Findings 2 items

Severity	Finding	Location
Low	CDP Runtime.evaluate固有灵活性 RCE 通过Chrome CDP的Runtime.evaluate执行JavaScript是CDP自动化的固有特性，存在理论上的RCE灵活性，但实际仅用于UI操作（点击、输入、提取token）。 Runtime.evaluate({ expression: `...` }) → 可接受。CDP沙箱限制了实际攻击面。	`scripts/flow-webapi/client.ts:120`
Info	OAuth token本地存储 Credential Theft 访问token (ya29.*) 和浏览器cookies存储在~/.local/share/baoyu-skills/flow-web/cookies.json，无外传行为。 `write_cookie_file(result.accessToken, filtered, resolveFlowWebCookiePath(), 'cdp')` → 符合预期。凭证仅用于本地Google Flow认证。	`scripts/flow-webapi/utils/cookie-file.ts:27`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`WRITE`	✓ Aligned	SKILL.md: Cookie文件读写
Network	`READ`	`READ`	✓ Aligned	SKILL.md: labs.google/fx
Shell	`WRITE`	`WRITE`	✓ Aligned	SKILL.md: Bun/npx执行、Chrome启动
Browser	`READ`	`READ`	✓ Aligned	SKILL.md: Chrome CDP UI自动化
Environment	`READ`	`READ`	✓ Aligned	SKILL.md: FLOW_WEB_PROXY等环境变量

6 findings

🔗

Medium External URL 外部 URL

https://labs.google/fx/

SKILL.md:162

🔗

Medium External URL 外部 URL

https://labs.google/fx/zh/tools/flow

scripts/flow-webapi/client.ts:83

🔗

Medium External URL 外部 URL

https://labs.google/fx/zh/tools/flow/project/$

scripts/flow-webapi/client.ts:174

🔗

Medium External URL 外部 URL

https://labs.google/fx/api/auth/session

scripts/flow-webapi/utils/get-auth-token.ts:15

🔗

Medium External URL 外部 URL

https://labs.google/

scripts/flow-webapi/utils/load-browser-cookies.ts:342

🔗

Medium External URL 外部 URL

https://accounts.google.com/

scripts/flow-webapi/utils/load-browser-cookies.ts:342

File Tree

15 files · 58.4 KB · 1811 lines

TypeScript 14f · 1529L Markdown 1f · 282L

├─ ▾ 📁 scripts

│ ├─ ▾ 📁 flow-webapi

│ │ ├─ ▾ 📁 types

│ │ │ ├─ 📜 index.ts TypeScript 1L · 78 B

│ │ │ └─ 📜 project.ts TypeScript 17L · 316 B

│ │ ├─ ▾ 📁 utils

│ │ │ ├─ 📜 cookie-file.ts TypeScript 56L · 1.5 KB

│ │ │ ├─ 🔑 get-auth-token.ts ⚠ TypeScript 97L · 3.3 KB

│ │ │ ├─ 📜 http.ts TypeScript 72L · 2.0 KB

│ │ │ ├─ 📜 index.ts TypeScript 25L · 826 B

│ │ │ ├─ 📜 load-browser-cookies.ts TypeScript 392L · 12.9 KB

│ │ │ ├─ 📜 logger.ts TypeScript 40L · 1.1 KB

│ │ │ └─ 📜 paths.ts TypeScript 55L · 2.0 KB

│ │ ├─ 📜 client.ts TypeScript 418L · 14.8 KB

│ │ ├─ 📜 constants.ts TypeScript 38L · 1.4 KB

│ │ ├─ 📜 exceptions.ts TypeScript 34L · 681 B

│ │ └─ 📜 index.ts TypeScript 32L · 601 B

│ └─ 📜 main.ts TypeScript 252L · 6.9 KB

└─ 📝 SKILL.md Markdown 282L · 10.0 KB

Security Positives

✓ 文档与代码行为高度一致，无阴影功能

✓ 网络请求仅限Google官方域名（labs.google/fx, accounts.google.com）

✓ 凭证存储本地化，无外传机制

✓ 使用Bun原生fetch，无第三方HTTP库

✓ consent机制要求用户明确同意

✓ 无base64编码执行、eval滥用

✓ 无远程脚本下载/执行

✓ WSL路径转换使用wslpath而非字符串拼接

Scan Report

Findings 2 items

File Tree

Security Positives