中文 EN

扫描报告

扫描新文件

可信 — 风险评分 5/100
上次扫描:2 天前 重新扫描
5 /100
workwork
学术综述撰写与格式化工具集 - 参考文献检查、格式验证、Word文档生成
学术论文格式化工具集,所有代码行为与文档声明一致,无恶意行为发现。network:READ 权限用于学术 API 验证,shell:WRITE 仅用于打开本地文档。
技能名称workwork
分析耗时50.7s
引擎pi
可以安装
无需操作,可安全使用。

安全发现 3 项

严重性 安全发现 位置
提示
网络请求未在 SKILL.md 中显式声明
literature_integrity_checker.py 在启用 --deep-check 参数时会调用 CrossRef API (https://api.crossref.org) 验证文献真实性,SKILL.md 未在 Core Capabilities 部分明确说明
search_url = f"https://api.crossref.org/works?query={encoded_query}"
→ 在 SKILL.md Core Capabilities 章节的 Literature Integrity Checker 描述中添加 'Requires network connection for deep verification (--deep-check)'
 scripts/literature_integrity_checker.py:267
提示
shell 执行仅用于打开本地文档
subprocess 调用仅用于跨平台打开用户工作目录下的本地 .docx 文件,属于合理的用户体验增强
subprocess.run(['xdg-open', target_file], check=True)
→ 可接受,无需修复
 scripts/literature_integrity_checker.py:298
提示
文件修改操作已有警告提示
extract_and_fix_references.py 和 filter_references.py 会直接修改源文件,SKILL.md 在 Step 7 和 Important Notes 中有明确警告和备份提示
**Warning**: Directly modifies the source file—backup first
→ 文档完善,无需代码修改
 SKILL.md:75
资源类型声明权限推断权限状态证据
文件系统 READ,WRITE WRITE ✓ 一致 SKILL.md: 明确声明 filter_references.py、extract_and_fix_references.py 会修改文件
网络访问 NONE READ ✓ 一致 literature_integrity_checker.py:267 调用 CrossRef API 验证文献
命令执行 NONE WRITE ✓ 一致 literature_integrity_checker.py:298 仅用于打开本地文档
环境变量 NONE NONE 代码中无 os.environ 访问
2 项发现
🔗
中危 外部 URL 外部 URL
http://schemas.openxmlformats.org/wordprocessingml/2006/main
scripts/extract_ref_format.py:20
🔗
中危 外部 URL 外部 URL
https://api.crossref.org/works?query=
scripts/literature_integrity_checker.py:299

目录结构

26 文件 · 221.2 KB · 6626 行
Python 14f · 4131L Markdown 7f · 1818L JavaScript 2f · 530L YAML 1f · 88L JSON 2f · 59L
├─ 📁 references
│ ├─ 📝 features_checklist.md Markdown 464L · 11.7 KB
│ └─ 📝 workflow_guide.md Markdown 415L · 11.1 KB
├─ 📁 scripts
│ ├─ 🐍 analyze_citation_pattern.py Python 224L · 8.1 KB
│ ├─ 🐍 check_duplicate_citations.py Python 130L · 4.3 KB
│ ├─ 📜 create_word_doc_v3.js JavaScript 175L · 4.3 KB
│ ├─ 📜 create_word_with_superscript.js JavaScript 355L · 9.4 KB
│ ├─ 🐍 document_format_checker.py Python 544L · 19.8 KB
│ ├─ 🐍 extract_and_fix_references.py Python 118L · 3.3 KB
│ ├─ 🐍 extract_ref_format.py Python 34L · 889 B
│ ├─ 🐍 filter_references.py Python 116L · 3.3 KB
│ ├─ 🐍 literature_integrity_checker_auto_open.py Python 361L · 13.8 KB
│ ├─ 🐍 literature_integrity_checker.py Python 520L · 20.5 KB
│ ├─ 🐍 merge_duplicate_citations_in_paragraphs.py Python 188L · 6.3 KB
│ ├─ 🐍 reference_accuracy_checker.py Python 468L · 16.7 KB
│ ├─ 🐍 reference_formatter.py Python 474L · 17.6 KB
│ ├─ 🐍 simple_verify.py Python 96L · 2.8 KB
│ ├─ 🐍 typo_grammar_checker.py Python 396L · 13.8 KB
│ └─ 🐍 unified_checker.py Python 462L · 16.4 KB
├─ 📁 templates
│ └─ 📋 ref_format_default.yml YAML 88L · 2.3 KB
├─ 📋 _meta.json JSON 5L · 128 B
├─ 📝 CHANGELOG.md Markdown 170L · 4.8 KB
├─ 📋 package.json JSON 54L · 1.8 KB
├─ 📝 README.md Markdown 214L · 6.5 KB
├─ 📝 SKILL.md Markdown 476L · 18.1 KB
├─ 📝 test_sample_with_errors.md Markdown 22L · 587 B
└─ 📝 test_sample.md Markdown 57L · 2.8 KB

依赖分析 3 项

包名版本来源已知漏洞备注
docx ^9.6.1 npm Node.js Word 文档生成库
pyyaml * pip YAML 配置解析
python-docx * pip 可选依赖,用于 Word 文档操作

安全亮点

✓ 所有代码行为与 SKILL.md 文档描述完全一致
✓ 无凭证收割、API 密钥窃取等恶意行为
✓ 无 base64 编码、远程脚本下载等可疑技术
✓ 无隐藏的 HTML 注释或混淆代码
✓ 网络请求仅用于学术文献验证(CrossRef API),不外传敏感数据
✓ 第三方依赖简单:仅使用 docx npm 包和 pyyaml、python-docx Python 包
✓ 文件修改操作有明确警告和备份提示
✓ 自动打开文档功能限制在本地工作目录的 .docx 文件