Name: invoice-scan Security Report — Trusted | ClawSafe
Item: invoice-scan
Rating: 95
Author: ClawSafe

This report was generated in Chinese. Some content may be in Chinese.

5 /100

invoice-scan

AI-powered invoice OCR, scanning, and data extraction

invoice-scan 是一个合法的发票 OCR/数据提取工具，代码行为与 SKILL.md 声明完全一致，仅在 CLI 模式下通过 HTTPS 将发票图片发送至 Anthropic API（已声明），Agent-native 模式纯本地处理。

Skill Nameinvoice-scan

Duration48.5s

Enginepi

ClawHub Invoice Scan v2.2.0 by mr-muddle

📥 397

ClawHub Verdict Suspicious potential_exfiltration

✓

Safe to install

无需修改，可安全使用。CLI 模式传输发票数据至第三方，请确保符合隐私合规要求。

Findings 1 items

Severity	Finding	Location
Low	依赖项使用宽松版本锁定 Supply Chain package.json 中 sharp (^0.33.0) 和 xlsx (^0.18.5) 使用 ^ 前缀，可能引入意外更新。建议固定主版本或精确版本。 `"sharp": "^0.33.0", "xlsx": "^0.18.5"` → 建议改为 "sharp": "0.33.x" 或精确版本以减少供应链风险	`scripts/package.json:25`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`WRITE`	`WRITE`	✓ Aligned	代码读写本地文件用于发票处理和输出
Network	`READ`	`READ`	✓ Aligned	仅在 CLI 模式发送 base64 图片到 api.anthropic.com，Agent-native 模式无网络调用
Shell	`NONE`	`NONE`	—	无 shell 执行代码
Environment	`READ`	`READ`	✓ Aligned	仅读取 ANTHROPIC_API_KEY 用于 CLI 模式
Clipboard	`NONE`	`NONE`	—	无剪贴板访问
Browser	`NONE`	`NONE`	—	无浏览器相关功能

File Tree

21 files · 140.4 KB · 3726 lines

JavaScript 17f · 3437L Markdown 3f · 249L JSON 1f · 40L

├─ ▾ 📁 references

│ ├─ 📝 canonical-schema.md Markdown 57L · 2.4 KB

│ └─ 📝 validation-rules.md Markdown 53L · 2.5 KB

├─ ▾ 📁 scripts

│ ├─ ▾ 📁 adapters

│ │ ├─ 📜 base.js JavaScript 180L · 5.8 KB

│ │ ├─ 📜 claude.js JavaScript 298L · 12.5 KB

│ │ └─ 📜 index.js JavaScript 41L · 918 B

│ ├─ ▾ 📁 extraction

│ │ └─ 📜 scanner.js JavaScript 302L · 9.9 KB

│ ├─ ▾ 📁 output

│ │ ├─ 📜 csv.js JavaScript 99L · 3.4 KB

│ │ ├─ 📜 excel.js JavaScript 182L · 5.9 KB

│ │ ├─ 📜 index.js JavaScript 37L · 1.1 KB

│ │ ├─ 📜 json.js JavaScript 9L · 186 B

│ │ └─ 📜 prepare.js JavaScript 290L · 10.1 KB

│ ├─ ▾ 📁 preprocessing

│ │ └─ 📜 preprocess.js JavaScript 127L · 3.4 KB

│ ├─ ▾ 📁 schema

│ │ └─ 📜 canonical.js JavaScript 159L · 5.4 KB

│ ├─ ▾ 📁 test

│ │ └─ 📜 run-tests.js JavaScript 766L · 36.7 KB

│ ├─ ▾ 📁 validation

│ │ ├─ 📜 arithmetic.js JavaScript 154L · 5.8 KB

│ │ ├─ 📜 completeness.js JavaScript 261L · 8.9 KB

│ │ └─ 📜 document-rules.js JavaScript 317L · 10.5 KB

│ ├─ 📜 cli.js JavaScript 169L · 5.6 KB

│ ├─ 📜 index.js JavaScript 46L · 1.2 KB

│ └─ 📋 package.json JSON 40L · 993 B

└─ 📝 SKILL.md Markdown 139L · 7.3 KB

Dependencies 2 items

Package	Version	Source	Known Vulns	Notes
`sharp`	`^0.33.0`	npm	No	宽松版本锁定，建议固定
`xlsx`	`^0.18.5`	npm	No	宽松版本锁定，建议固定

Security Positives

✓ Agent-native 模式声明不发送数据至外部，完全本地处理

✓ 仅依赖两个已知安全库 (sharp, xlsx)，无复杂依赖链

✓ Claude API 调用使用 HTTPS，凭证通过 header 传输

✓ 代码结构清晰，无混淆或隐藏功能

✓ SKILL.md 完整声明了两种模式及其数据流

✓ 无文件系统越权访问，仅处理用户提供的发票文件

✓ 输出文件保存至 {WORKSPACE}/invoice-scan/output/，符合声明

Scan Report

Findings 1 items

File Tree

Dependencies 2 items

Security Positives