workwork Security Report — Trusted | ClawSafe

5 /100

workwork

学术综述撰写与格式化工具集 - 参考文献检查、格式验证、Word文档生成

学术论文格式化工具集，所有代码行为与文档声明一致，无恶意行为发现。network:READ 权限用于学术 API 验证，shell:WRITE 仅用于打开本地文档。

Skill Nameworkwork

Duration50.7s

Enginepi

✓

Safe to install

无需操作，可安全使用。

Findings 3 items

Severity	Finding	Location
Info	网络请求未在 SKILL.md 中显式声明 literature_integrity_checker.py 在启用 --deep-check 参数时会调用 CrossRef API (https://api.crossref.org) 验证文献真实性，SKILL.md 未在 Core Capabilities 部分明确说明 `search_url = f"https://api.crossref.org/works?query={encoded_query}"` → 在 SKILL.md Core Capabilities 章节的 Literature Integrity Checker 描述中添加 'Requires network connection for deep verification (--deep-check)'	`scripts/literature_integrity_checker.py:267`
Info	shell 执行仅用于打开本地文档 subprocess 调用仅用于跨平台打开用户工作目录下的本地 .docx 文件，属于合理的用户体验增强 `subprocess.run(['xdg-open', target_file], check=True)` → 可接受，无需修复	`scripts/literature_integrity_checker.py:298`
Info	文件修改操作已有警告提示 extract_and_fix_references.py 和 filter_references.py 会直接修改源文件，SKILL.md 在 Step 7 和 Important Notes 中有明确警告和备份提示 `Warning: Directly modifies the source file—backup first` → 文档完善，无需代码修改	`SKILL.md:75`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ,WRITE`	`WRITE`	✓ Aligned	SKILL.md: 明确声明 filter_references.py、extract_and_fix_references.py 会修改文件
Network	`NONE`	`READ`	✓ Aligned	literature_integrity_checker.py:267 调用 CrossRef API 验证文献
Shell	`NONE`	`WRITE`	✓ Aligned	literature_integrity_checker.py:298 仅用于打开本地文档
Environment	`NONE`	`NONE`	—	代码中无 os.environ 访问

2 findings

🔗

Medium External URL 外部 URL

http://schemas.openxmlformats.org/wordprocessingml/2006/main

scripts/extract_ref_format.py:20

🔗

Medium External URL 外部 URL

https://api.crossref.org/works?query=

scripts/literature_integrity_checker.py:299

File Tree

26 files · 221.2 KB · 6626 lines

Python 14f · 4131L Markdown 7f · 1818L JavaScript 2f · 530L YAML 1f · 88L JSON 2f · 59L

├─ ▾ 📁 references

│ ├─ 📝 features_checklist.md Markdown 464L · 11.7 KB

│ └─ 📝 workflow_guide.md Markdown 415L · 11.1 KB

├─ ▾ 📁 scripts

│ ├─ 🐍 analyze_citation_pattern.py Python 224L · 8.1 KB

│ ├─ 🐍 check_duplicate_citations.py Python 130L · 4.3 KB

│ ├─ 📜 create_word_doc_v3.js JavaScript 175L · 4.3 KB

│ ├─ 📜 create_word_with_superscript.js JavaScript 355L · 9.4 KB

│ ├─ 🐍 document_format_checker.py Python 544L · 19.8 KB

│ ├─ 🐍 extract_and_fix_references.py Python 118L · 3.3 KB

│ ├─ 🐍 extract_ref_format.py Python 34L · 889 B

│ ├─ 🐍 filter_references.py Python 116L · 3.3 KB

│ ├─ 🐍 literature_integrity_checker_auto_open.py Python 361L · 13.8 KB

│ ├─ 🐍 literature_integrity_checker.py Python 520L · 20.5 KB

│ ├─ 🐍 merge_duplicate_citations_in_paragraphs.py Python 188L · 6.3 KB

│ ├─ 🐍 reference_accuracy_checker.py Python 468L · 16.7 KB

│ ├─ 🐍 reference_formatter.py Python 474L · 17.6 KB

│ ├─ 🐍 simple_verify.py Python 96L · 2.8 KB

│ ├─ 🐍 typo_grammar_checker.py Python 396L · 13.8 KB

│ └─ 🐍 unified_checker.py Python 462L · 16.4 KB

├─ ▾ 📁 templates

│ └─ 📋 ref_format_default.yml YAML 88L · 2.3 KB

├─ 📋 _meta.json JSON 5L · 128 B

├─ 📝 CHANGELOG.md Markdown 170L · 4.8 KB

├─ 📋 package.json JSON 54L · 1.8 KB

├─ 📝 README.md Markdown 214L · 6.5 KB

├─ 📝 SKILL.md Markdown 476L · 18.1 KB

├─ 📝 test_sample_with_errors.md Markdown 22L · 587 B

└─ 📝 test_sample.md Markdown 57L · 2.8 KB

Dependencies 3 items

Package	Version	Source	Known Vulns	Notes
`docx`	`^9.6.1`	npm	No	Node.js Word 文档生成库
`pyyaml`	`*`	pip	No	YAML 配置解析
`python-docx`	`*`	pip	No	可选依赖，用于 Word 文档操作

Security Positives

✓ 所有代码行为与 SKILL.md 文档描述完全一致

✓ 无凭证收割、API 密钥窃取等恶意行为

✓ 无 base64 编码、远程脚本下载等可疑技术

✓ 无隐藏的 HTML 注释或混淆代码

✓ 网络请求仅用于学术文献验证（CrossRef API），不外传敏感数据

✓ 第三方依赖简单：仅使用 docx npm 包和 pyyaml、python-docx Python 包

✓ 文件修改操作有明确警告和备份提示

✓ 自动打开文档功能限制在本地工作目录的 .docx 文件

Scan Report

Findings 3 items

File Tree

Dependencies 3 items

Security Positives