中文 EN

扫描报告

扫描新文件

可信 — 风险评分 10/100
上次扫描:11 小时前 重新扫描
10 /100
comfyui-running
全自动运行 ComfyUI 工作流:通过 CDP 协议控制 Edge 浏览器,自动化操作 ComfyUI 界面,并通过 REST API 执行工作流
ComfyUI 全自动运行工具,所有功能符合声明,无恶意行为,网络通信仅限本地服务。subprocess 执行有合理用途,代理清理为防本地拦截,权限声明略宽但不影响安全。
技能名称comfyui-running
分析耗时55.2s
引擎pi
可以安装
可直接使用。建议精简 SKILL.md 中的 requires 字段(移除 node、curl 声明),使权限描述更准确。

安全发现 2 项

严重性 安全发现 位置
低危
权限声明略宽泛 文档欺骗
SKILL.md metadata.requires 声明需要 python3, node, curl 和 windows OS,但实际代码只需 Python 环境(requests + websockets 库),browser CDP 功能是可选模块。node 和 curl 并未在代码中使用。
requires: {bins: [python3, node, curl], os: [windows]}
→ 将 requires 精简为 {bins: [python3], os: [windows, linux]},移除未使用的 node/curl 声明
 SKILL.md:4
低危
代理环境变量清理行为未声明 敏感访问
comfyui_browser.py 第 17-18 行遍历并删除所有包含 'proxy' 的环境变量。这可能用于防止本地 HTTP 代理拦截 CDP 流量,但行为未在文档中说明。
for k in list(os.environ.keys()):
    if 'proxy' in k.lower():
        del os.environ[k]
→ 在 SKILL.md 或代码注释中说明此行为的技术原因
 comfyui_browser.py:17
资源类型声明权限推断权限状态证据
文件系统 READ READ ✓ 一致 lib/comfyui_config.py:89 读取 config.json
网络访问 READ READ ✓ 一致 仅访问 http://127.0.0.1:8188 (ComfyUI) 和 http://127.0.0.1:9222 (Edge CDP)
命令执行 NONE WRITE ✓ 一致 lib/comfyui_automation.py:77-93 subprocess.Popen 启动 ComfyUI main.py,有合理用途
浏览器 WRITE WRITE ✓ 一致 comfyui_browser.py:54-65 通过 CDP 控制 Edge
环境变量 NONE READ ✓ 一致 lib/comfyui_config.py:46 读取 COMFYUI_ROOT 等环境变量
剪贴板 NONE NONE
数据库 NONE NONE
技能调用 NONE NONE
13 项发现
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:9222/json
SHARING_PACKAGE.md:169
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:8188/queue
SHARING_PACKAGE.md:172
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:8188/history?per_page=5
SHARING_PACKAGE.md:175
🔗
中危 外部 URL 外部 URL
https://www.comfyorg.cn
SKILL.md:9
🔗
中危 外部 URL 外部 URL
https://img.shields.io/badge/comfyui%E8%B5%84%E6%BA%90%E7%BD%91-ComfyUI%E8%B5%84%E6%BA%90%E5%AE%A3%E5%92%8C-orange?style...
SKILL.md:11
🔗
中危 外部 URL 外部 URL
https://www.comfyorg.cn/tutorial
SKILL.md:391
🔗
中危 外部 URL 外部 URL
https://www.comfyorg.cn/workflow
SKILL.md:392
🔗
中危 外部 URL 外部 URL
https://www.comfyorg.cn/kjqy/bbgj
SKILL.md:393
🔗
中危 外部 URL 外部 URL
https://www.comfyorg.cn/shop/1680.html
SKILL.md:394
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:
comfyui_browser.py:61
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:8188/history
完整使用教程(使用前建议查看).md:129
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:8188/prompt
完整使用教程(使用前建议查看).md:170
🔗
中危 外部 URL 外部 URL
http://127.0.0.1:8188
新手教程.md:209

目录结构

17 文件 · 100.9 KB · 3676 行
Python 8f · 1901L Markdown 4f · 1152L JSON 5f · 623L
├─ 📁 example_workflows
│ ├─ 📋 default_api_format.json JSON 77L · 1.1 KB
│ ├─ 📋 default.json JSON 418L · 7.0 KB
│ ├─ 📋 文生图_api_format.json JSON 59L · 1.1 KB
│ └─ 📋 文生图.json JSON 59L · 1.4 KB
├─ 📁 lib
│ ├─ 🐍 __init__.py Python 63L · 1.4 KB
│ ├─ 🐍 comfyui_automation.py Python 425L · 15.0 KB
│ └─ 🐍 comfyui_config.py Python 272L · 7.8 KB
├─ 📁 scripts
│ ├─ 🐍 comfyui_setup.py Python 231L · 6.7 KB
│ ├─ 🐍 gen_dance.py Python 27L · 790 B
│ ├─ 🐍 gen_handsome.py Python 25L · 778 B
│ └─ 🐍 test_upgrade.py Python 134L · 3.7 KB
├─ 🐍 comfyui_browser.py Python 724L · 26.8 KB
├─ 🔑 config.json JSON 10L · 508 B
├─ 📝 SHARING_PACKAGE.md Markdown 203L · 4.3 KB
├─ 📝 SKILL.md Markdown 401L · 11.1 KB
├─ 📝 完整使用教程(使用前建议查看).md Markdown 232L · 5.1 KB
└─ 📝 新手教程.md Markdown 316L · 6.4 KB

依赖分析 2 项

包名版本来源已知漏洞备注
requests 2.28+ pip 版本锁定
websockets 10+ pip 版本锁定

安全亮点

✓ 所有网络通信仅限 localhost(127.0.0.1),无外部 IP 请求
✓ 无凭证收割、API 密钥窃取行为
✓ 无 base64/eval 等代码混淆
✓ subprocess.Popen 仅用于启动本地 ComfyUI main.py,有明确用途
✓ 无敏感文件访问(~/.ssh、.env 等)
✓ 无数据外泄或 C2 通信
✓ 无计划任务或后门植入
✓ 依赖版本锁定(requests 2.28+, websockets 10+)
✓ 代码结构清晰,注释完整