category-collector Security Report — Trusted | ClawSafe

5 /100

category-collector

Shopify 网店分类链接采集器 - 自动从导航提取真实分类层级，输出 CSV

Shopify 分类采集器，功能正常，声明与实际行为一致，无恶意指标

Skill Namecategory-collector

Duration46.8s

Enginepi

✓

Safe to install

无需额外限制，可正常使用

Findings 2 items

Severity	Finding	Location
Info	依赖版本使用语义化版本 Supply Chain package.json 中 playwright 使用 ^1.40.0 语义版本控制，不强制锁定具体版本 `"playwright": "^1.40.0"` → 如需更强安全保障，可指定具体版本如 "playwright": "1.40.0"	`package.json:15`
Info	预扫描 IP 告警误报 Doc Mismatch 预扫描报告标记 collect-ajax.js:38 存在硬编码 IP 120.0.0.0，实际代码中第 38 行为 chromium.launch({ timeout: 60000 })，未发现该 IP `headless: false, timeout: 60000` → 忽略预扫描误报，无需处理	`collect-ajax.js:38`

Resource	Declared	Inferred	Status	Evidence
Shell	`WRITE`	`WRITE`	✓ Aligned	所有脚本均为 node 脚本，通过 exec 调用
Network	`NONE`	`READ`	✓ Aligned	通过 Playwright 访问用户指定的 Shopify 网站
Filesystem	`WRITE`	`WRITE`	✓ Aligned	写入 CSV 和截图到用户指定目录
Browser	`NONE`	`READ`	✓ Aligned	通过 Playwright 进行网页抓取，需要浏览器控制能力

1 High 8 findings

📡

High IP Address 硬编码 IP 地址

120.0.0.0

collect-ajax.js:38

🔗

Medium External URL 外部 URL

https://shop.futvortexstore.com/

README.md:36

🔗

Medium External URL 外部 URL

https://lulumonclick-eu.shop/collections/women-women-clothes-tank-tops

README.md:58

🔗

Medium External URL 外部 URL

https://shop.futvortexstore.com/collections/liverpool

SKILL.md:63

🔗

Medium External URL 外部 URL

https://.../collections/premier-league/liverpool

collect-correct-hover.js:299

🔗

Medium External URL 外部 URL

https://registry.npmmirror.com/fsevents/-/fsevents-2.3.2.tgz

package-lock.json:20

🔗

Medium External URL 外部 URL

https://registry.npmmirror.com/playwright/-/playwright-1.58.2.tgz

package-lock.json:34

🔗

Medium External URL 外部 URL

https://registry.npmmirror.com/playwright-core/-/playwright-core-1.58.2.tgz

package-lock.json:52

File Tree

12 files · 60.2 KB · 2107 lines

JavaScript 7f · 1832L Markdown 2f · 174L JSON 3f · 101L

├─ 📜 collect-ajax.js JavaScript 351L · 10.1 KB

├─ 📜 collect-correct-hover.js JavaScript 327L · 9.2 KB

├─ 📜 collect-correct.js JavaScript 321L · 8.9 KB

├─ 📜 collect-improved.js JavaScript 336L · 9.4 KB

├─ 📜 collect.js JavaScript 346L · 10.3 KB

├─ 📜 debug-liverpool.js JavaScript 82L · 2.5 KB

├─ 📜 debug-nav.js JavaScript 69L · 1.8 KB

├─ 📋 package-lock.json JSON 63L · 1.7 KB

├─ 📋 package.json JSON 22L · 491 B

├─ 📝 README.md Markdown 78L · 2.1 KB

├─ 📋 setup.json JSON 16L · 478 B

└─ 📝 SKILL.md Markdown 96L · 3.0 KB

Dependencies 1 items

Package	Version	Source	Known Vulns	Notes
`playwright`	`^1.40.0`	npm	No	无版本锁定，存在更新风险

Security Positives

✓ SKILL.md 声明与代码实际行为高度一致

✓ 所有脚本功能单一明确，均为网页爬取和 CSV 输出

✓ 无凭证收割、环境变量遍历、敏感路径访问

✓ 无 base64 编码、eval、远程代码执行等高危操作

✓ 无外部数据外泄行为

✓ 代码结构清晰，注释完整

✓ 硬编码路径 C:\workspace\caiji 符合 Windows 部署场景

Scan Report

Findings 2 items

File Tree

Dependencies 1 items

Security Positives