中文 EN

Scan Report

Scan New Files

This report was generated in Chinese. Some content may be in Chinese.
Trusted — Risk Score 5/100
Last scan:4 hr ago Rescan
5 /100
nlm-cli
使用 Jacob Brown 的 notebooklm-mcp-cli(nlm 命令)自动化操作 NotebookLM,包括 Notebook/来源管理、Studio 内容生成、Research、分享及产物下载。
该技能是 notebooklm-mcp-cli(nlm 命令)的薄封装器,代码逻辑简洁清晰,核心功能完全委托给外部合法 CLI,无自身恶意行为,唯一瑕疵是 SKILL.md 未声明 allowed-tools。
Skill Namenlm-cli
Duration38.3s
Enginepi
ClawHub Nlm Cli v0.1.1 by felixhsp
📥 265 ⭐ 1
ClawHub Verdict Suspicious dangerous_exec
Safe to install
可安全使用。如需提升透明度,建议在 SKILL.md 顶部添加 allowed-tools 声明,明确网络、文件系统权限范围。

Findings 1 items

Severity Finding Location
Low
SKILL.md 缺失 allowed-tools 声明 Doc Mismatch
SKILL.md 未包含 allowed-tools 字段,导致读者无法通过声明了解该技能实际需要的权限范围(文件系统、网络、shell 均隐性依赖 nlm CLI)。
# NLM CLI

在需要使用 Jacob Brown 的 `notebooklm-mcp-cli`(`nlm` 命令)时,使用这个技能。
→ 在 SKILL.md 顶部添加 allowed-tools 声明,明确列出 Bash(shell:WRITE)、Read(filesystem:READ)等所需工具及用途。
 SKILL.md:1
ResourceDeclaredInferredStatusEvidence
Filesystem NONE READ ✓ Aligned scripts/nlm.mjs:35 — spawnSync 继承 stdio,可能读写文件(由 nlm CLI 决定)
Network NONE WRITE ✓ Aligned references/install-and-auth.md — nlm login/认证流程涉及网络请求
Shell NONE WRITE ✓ Aligned scripts/nlm.mjs:40 — spawnSync(command, args) 执行外部 CLI 命令
1 findings
🔗
Medium External URL 外部 URL
http://127.0.0.1:18800
references/install-and-auth.md:51

File Tree

4 files · 14.2 KB · 339 lines
Markdown 3f · 291L JavaScript 1f · 48L
├─ 📁 references
│ ├─ 📝 cli-commands.md Markdown 138L · 6.5 KB
│ └─ 📝 install-and-auth.md Markdown 99L · 2.9 KB
├─ 📁 scripts
│ └─ 📜 nlm.mjs JavaScript 48L · 1.6 KB
└─ 📝 SKILL.md Markdown 54L · 3.2 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
notebooklm-mcp-cli 未锁定 uv tool install / pip install No install-and-auth.md 中使用 uv/pip 安装无版本锁定,存在供应链间接风险;主风险来自 nlm CLI 本身

Security Positives

✓ scripts/nlm.mjs 代码量仅 48 行,逻辑极度简洁,无复杂逻辑
✓ 无 base64、eval、atob 等混淆技术
✓ 无硬编码 IP、URL、凭证收割代码
✓ 无环境变量遍历、敏感路径访问
✓ 依赖外部合法开源 CLI(notebooklm-mcp-cli),非自建网络通信
✓ pre-scan IOC(http://127.0.0.1:18800)仅为本地 CDP 调试端点,属于 install-and-auth.md 中的可选登录方式说明,无外传风险