中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Low Risk — Risk Score 20/100
Last scan:5 hr ago Rescan
20 /100
zhy-markdown2wechat
将 Markdown 转换为微信公众号兼容的内联 HTML
这是一个纯文本转换工具,代码简单清晰,仅进行文件读写和本地markdown解析,无敏感操作或数据外泄行为。唯一的瑕疵是动态npm安装未在文档中明确声明网络活动。
Skill Namezhy-markdown2wechat
Duration34.9s
Enginepi
ClawHub Zhy Markdown2wechat v0.1.0 by zhylq
📥 168 📦 2
ClawHub Verdict Suspicious dangerous_execvt_suspicious
Safe to install
该技能可安全使用。如需进一步加固,可将 marked@4 和 juice@8 预装为项目依赖而非动态安装。

Findings 1 items

Severity Finding Location
Low
隐式网络活动 Supply Chain
脚本通过 npm install 动态下载 marked 和 juice 依赖,虽然在 SKILL.md 中提到'零部署自动加载依赖',但未明确说明会产生网络下载行为
cp.execSync(`npm install ${packageName} --no-save`, { cwd: tempDir, stdio: 'ignore' })
→ 建议在 SKILL.md 中补充说明:本技能执行时会临时下载 npm 依赖包(marked@4, juice@8),如需离线使用请预先安装
 scripts/convert.js:19
ResourceDeclaredInferredStatusEvidence
Filesystem READ READ+WRITE ✓ Aligned scripts/convert.js:37,42 仅读写用户指定路径
Network NONE WRITE ✓ Aligned scripts/convert.js:19 执行 npm install --no-save 动态下载依赖
Shell WRITE WRITE ✓ Aligned scripts/convert.js:19 仅执行 node 脚本,无恶意命令

File Tree

10 files · 41.7 KB · 2084 lines
CSS 7f · 1956L Markdown 2f · 73L JavaScript 1f · 55L
├─ 📁 resources
│ └─ 📁 themes
│ ├─ 📄 apple.css CSS 212L · 4.4 KB
│ ├─ 📄 blue.css CSS 330L · 5.9 KB
│ ├─ 📄 dark.css CSS 333L · 5.7 KB
│ ├─ 📄 default.css CSS 336L · 6.0 KB
│ ├─ 📄 green.css CSS 330L · 5.9 KB
│ ├─ 📄 notion.css CSS 195L · 3.8 KB
│ └─ 📄 vibrant.css CSS 220L · 4.7 KB
├─ 📁 scripts
│ └─ 📜 convert.js JavaScript 55L · 1.8 KB
├─ 📝 README.md Markdown 35L · 972 B
└─ 📝 SKILL.md Markdown 38L · 2.5 KB

Dependencies 2 items

PackageVersionSourceKnown VulnsNotes
marked 4 npm (dynamic) No 运行时动态安装,未锁定具体版本
juice 8 npm (dynamic) No 运行时动态安装,未锁定具体版本

Security Positives

✓ 代码结构简单,仅55行,无复杂逻辑
✓ 仅使用标准库 + 知名开源库(marked, juice)
✓ 临时目录自动清理,不留环境垃圾
✓ 无敏感文件访问(无 ~/.ssh, ~/.aws, .env 等)
✓ 无凭证收割或环境变量遍历
✓ 无代码混淆或隐藏指令
✓ 无外部网络请求(除安装依赖外)
✓ 文件操作范围严格限定在用户指定的输入输出路径