WeChat Official Accounts 安全扫描报告 — 可信 | ClawSafe

5 /100

WeChat Official Accounts

Analyze WeChat Official Accounts workflows with JustOneAPI, including user Published Posts, article Engagement Metrics, and article Comments across 5 operations.

这是一个合法的 JustOneAPI 微信公众平台 API 封装工具，仅包含受控的 GET 请求功能，无任何恶意行为。

技能名称WeChat Official Accounts

分析耗时27.5s

引擎pi

✓

可以安装

可直接使用。该技能功能单一，仅向 api.justoneapi.com 发送受控的 GET 请求获取微信公众号数据。

安全发现 1 项

严重性	安全发现	位置
低危	文档路径占位符不一致文档欺骗 SKILL.md 使用 {baseDir} 占位符描述执行命令，但实际运行时用户需自行替换为实际路径。这可能导致不熟悉 CLI 的用户执行失败。 `node {baseDir}/bin/run.mjs --operation "<operation-id>"` → 建议使用具体路径或提供运行时路径解析机制	`SKILL.md:45`

资源类型	声明权限	推断权限	状态	证据
文件系统	`NONE`	`NONE`	—	bin/run.mjs:1-200 代码中无任何 fs 操作
网络访问	`READ`	`READ`	✓ 一致	bin/run.mjs:89 仅使用 fetch 向 https://api.justoneapi.com 发送 GET 请求
命令执行	`NONE`	`NONE`	—	bin/run.mjs 无任何 spawn/exec/execSync 调用
环境变量	`READ`	`READ`	✓ 一致	bin/run.mjs:73 仅通过 injectToken 读取 JUST_ONE_API_TOKEN 参数
技能调用	`NONE`	`NONE`	—	无嵌套调用
剪贴板	`NONE`	`NONE`	—	无剪贴板操作
浏览器	`NONE`	`NONE`	—	无浏览器自动化
数据库	`NONE`	`NONE`	—	无数据库操作

3 项发现

🔗

中危外部 URL 外部 URL

https://api.justoneapi.com

SKILL.md:5

🔗

中危外部 URL 外部 URL

https://dashboard.justoneapi.com/

SKILL.md:51

🔗

中危外部 URL 外部 URL

https://docs.justoneapi.com/en/usage

SKILL.md:52

目录结构

4 文件 · 27.5 KB · 891 行

JavaScript 1f · 445L JSON 1f · 243L Markdown 2f · 203L

├─ ▾ 📁 bin

│ └─ 📜 run.mjs JavaScript 445L · 12.6 KB

├─ ▾ 📁 generated

│ ├─ 📋 operations.json JSON 243L · 7.3 KB

│ └─ 📝 operations.md Markdown 143L · 4.1 KB

└─ 📝 SKILL.md Markdown 60L · 3.5 KB

安全亮点

✓ 代码结构清晰，所有操作均通过 manifest 定义，行为可预测

✓ 仅使用标准 fetch API，无第三方依赖

✓ 包含完善的参数验证和错误处理

✓ token 仅作为 query 参数传递，不会在错误信息中泄露

✓ 5 个操作均声明清晰，与代码实现完全一致

✓ 无任何文件写入、网络可疑地址、凭证收割等危险行为

✓ 纯参数驱动的 API 调用，无动态代码执行