中文 EN

扫描报告

扫描新文件

低风险 — 风险评分 20/100
上次扫描:5 小时前 重新扫描
20 /100
zhy-markdown2wechat
将 Markdown 转换为微信公众号兼容的内联 HTML
这是一个纯文本转换工具,代码简单清晰,仅进行文件读写和本地markdown解析,无敏感操作或数据外泄行为。唯一的瑕疵是动态npm安装未在文档中明确声明网络活动。
技能名称zhy-markdown2wechat
分析耗时34.9s
引擎pi
ClawHub Zhy Markdown2wechat v0.1.0 by zhylq
📥 168 📦 2
ClawHub 判定 可疑 dangerous_execvt_suspicious
可以安装
该技能可安全使用。如需进一步加固,可将 marked@4 和 juice@8 预装为项目依赖而非动态安装。

安全发现 1 项

严重性 安全发现 位置
低危
隐式网络活动 供应链
脚本通过 npm install 动态下载 marked 和 juice 依赖,虽然在 SKILL.md 中提到'零部署自动加载依赖',但未明确说明会产生网络下载行为
cp.execSync(`npm install ${packageName} --no-save`, { cwd: tempDir, stdio: 'ignore' })
→ 建议在 SKILL.md 中补充说明:本技能执行时会临时下载 npm 依赖包(marked@4, juice@8),如需离线使用请预先安装
 scripts/convert.js:19
资源类型声明权限推断权限状态证据
文件系统 READ READ+WRITE ✓ 一致 scripts/convert.js:37,42 仅读写用户指定路径
网络访问 NONE WRITE ✓ 一致 scripts/convert.js:19 执行 npm install --no-save 动态下载依赖
命令执行 WRITE WRITE ✓ 一致 scripts/convert.js:19 仅执行 node 脚本,无恶意命令

目录结构

10 文件 · 41.7 KB · 2084 行
CSS 7f · 1956L Markdown 2f · 73L JavaScript 1f · 55L
├─ 📁 resources
│ └─ 📁 themes
│ ├─ 📄 apple.css CSS 212L · 4.4 KB
│ ├─ 📄 blue.css CSS 330L · 5.9 KB
│ ├─ 📄 dark.css CSS 333L · 5.7 KB
│ ├─ 📄 default.css CSS 336L · 6.0 KB
│ ├─ 📄 green.css CSS 330L · 5.9 KB
│ ├─ 📄 notion.css CSS 195L · 3.8 KB
│ └─ 📄 vibrant.css CSS 220L · 4.7 KB
├─ 📁 scripts
│ └─ 📜 convert.js JavaScript 55L · 1.8 KB
├─ 📝 README.md Markdown 35L · 972 B
└─ 📝 SKILL.md Markdown 38L · 2.5 KB

依赖分析 2 项

包名版本来源已知漏洞备注
marked 4 npm (dynamic) 运行时动态安装,未锁定具体版本
juice 8 npm (dynamic) 运行时动态安装,未锁定具体版本

安全亮点

✓ 代码结构简单,仅55行,无复杂逻辑
✓ 仅使用标准库 + 知名开源库(marked, juice)
✓ 临时目录自动清理,不留环境垃圾
✓ 无敏感文件访问(无 ~/.ssh, ~/.aws, .env 等)
✓ 无凭证收割或环境变量遍历
✓ 无代码混淆或隐藏指令
✓ 无外部网络请求(除安装依赖外)
✓ 文件操作范围严格限定在用户指定的输入输出路径